已为所有受支持的 PostgreSQL 分支生成纠正更新:13.3、12.7、11.12、10.17 和 9.6.22。 分支 9.6 的更新将在 2021 年 10 月之前生成,2022 到 11 年 2023 月生成,12 到 2024 年 13 月生成,2025 到 XNUMX 年 XNUMX 月生成,XNUMX 到 XNUMX 年 XNUMX 月生成。 新版本消除了三个漏洞并修复了累积的错误。
漏洞 CVE-2021-32027 可能会因数组索引计算期间的整数溢出而导致缓冲区写入越界。 通过操纵 SQL 查询中的数组值,有权执行 SQL 查询的攻击者可以将任何数据写入进程内存的任意区域,并以 DBMS 服务器的权限实现其代码的执行。 另外两个漏洞(CVE-2021-32028、CVE-2021-32029)会在操作“INSERT ... ON CONFLICT ... DO UPDATE”和“UPDATE ... RETURNING”请求时导致进程内存内容泄漏。
非漏洞修复包括:
- 消除执行“UPDATE...RETURNING”更新联接分片表时的错误计算。
- 修复当存在外键约束并使用分区表时“ALTER TABLE ... ALTER CONSTRAINT”命令失败的问题。
- “提交和链”功能已得到改进。
- 对于 FreeBSD 的新版本,fdatasync 模式现在默认设置为 thatwal_sync_method。
- 默认情况下,vacuum_cleanup_index_scale_factor 参数处于禁用状态。
- 修复了初始化 TLS 连接时发生的内存泄漏。
- pg_upgrade 添加了额外的检查,以检查用户表中是否存在无法升级的数据类型。
来源: opennet.ru