PostgreSQL דערהייַנטיקן מיט וואַלנעראַביליטיז פאַרפעסטיקט. Odyssey Connection Balancer 1.2 באפרייט

קערעקטיוו דערהייַנטיקונגען זענען דזשענערייטאַד פֿאַר אַלע שטיצט PostgreSQL צווייגן: 14.1, 13.5, 12.9, 11.14, 10.19 און 9.6.24. מעלדונג 9.6.24 וועט זיין די לעצטע דערהייַנטיקן פֿאַר די 9.6 צווייַג, וואָס איז דיסקאַנטיניוד. דערהייַנטיקונגען פֿאַר צווייַג 10 וועט זיין דזשענערייטאַד ביז נאוועמבער 2022, 11 - ביז נאוועמבער 2023, 12 - ביז נאוועמבער 2024, 13 - ביז נאוועמבער 2025, 14 - ביז נאוועמבער 2026.

די נייַע ווערסיעס פאָרשלאָגן מער ווי 40 פיקסיז און עלימינירן צוויי וואַלנעראַביליטיז (CVE-2021-23214, CVE-2021-23222) אין די סערווער פּראָצעס און די libpq קליענט ביבליאָטעק. די וואַלנעראַביליטיז לאָזן אַ אַטאַקער צו ברעכן אין אַ ינקריפּטיד קאָמוניקאַציע קאַנאַל דורך אַ MITM באַפאַלן. די באַפאַלן טוט נישט דאַרפן אַ גילטיק ססל באַווייַזן און קענען זיין דורכגעקאָכט קעגן סיסטעמען וואָס דאַרפן קליענט אָטענטאַקיישאַן ניצן אַ באַווייַזן. אין דעם קאָנטעקסט פון די סערווער, די באַפאַלן אַלאַוז איר צו פאַרבייַטן דיין אייגענע SQL אָנפֿרעג אין דער צייט פון גרינדן אַ ינקריפּטיד קשר פון דעם קליענט צו די PostgreSQL סערווער. אין דעם קאָנטעקסט פון libpq, די וואַלנעראַביליטי אַלאַוז אַ אַטאַקער צו צוריקקומען אַ פאַלש סערווער ענטפער צו דעם קליענט. ווען קאַמביינד, די וואַלנעראַביליטיז לאָזן אינפֿאָרמאַציע וועגן אַ קליענט ס פּאַראָל אָדער אנדערע שפּירעוודיק דאַטן טראַנסמיטטעד פרי אין די קשר צו זיין יקסטראַקטיד.

אין דערצו, מיר קענען טאָן די ויסגאַבע דורך יאַנדעקס פון אַ נייַע ווערסיע פון ​​​​די Odyssey 1.2 פּראַקסי סערווער, דיזיינד צו האַלטן אַ בעקן פון אָפֿן קאַנעקשאַנז צו די PostgreSQL DBMS און אָרגאַניזירן אָנפֿרעג רוטינג. Odyssey שטיצט פליסנדיק קייפל אַרבעט פּראַסעסאַז מיט מולטי-טרעדיד האַנדלערס, רוטינג צו דער זעלביקער סערווער ווען אַ קליענט ריקאַנעקץ, און די פיייקייט צו בינדן פֿאַרבינדונג פּאָאָלס צו ניצערס און דאַטאַבייסיז. דער קאָד איז געשריבן אין C און פונאנדערגעטיילט אונטער די BSD דערלויבעניש.

די נייַע ווערסיע פון ​​​​אָדיססיי מוסיף שוץ צו פאַרשפּאַרן דאַטן סאַבסטיטושאַן נאָך ניגאָושיייטינג אַ SSL סעסיע (אַלאַויז איר צו פאַרשפּאַרן אנפאלן ניצן די אויבן-דערמאנט וואַלנעראַביליטיז CVE-2021-23214 און CVE-2021-23222). שטיצן פֿאַר PAM און LDAP איז ימפּלאַמענאַד. צוגעגעבן ינטאַגריישאַן מיט די פּראָמעטהעוס מאָניטאָרינג סיסטעם. ימפּרוווד כעזשבן פון סטאַטיסטיק פּאַראַמעטערס צו חשבון פֿאַר טראַנסאַקטיאָן און אָנפֿרעג דורכפירונג צייט.

מקור: opennet.ru