已为所有支持的 PostgreSQL 分支生成纠正更新:14.1、13.5、12.9、11.14、10.19 和 9.6.24。 9.6.24 版将是 9.6 分支的最后一个更新,该分支已停止使用。 分支 10 的更新将在 2022 年 11 月之前生成,2023 - 直到 12 年 2024 月,13 - 直到 2025 年 14 月,2026 - 直到 XNUMX 年 XNUMX 月,XNUMX - 直到 XNUMX 年 XNUMX 月。
新版本提供了 40 多项修复,并消除了服务器进程和 libpq 客户端库中的两个漏洞(CVE-2021-23214、CVE-2021-23222)。 这些漏洞允许攻击者通过 MITM 攻击闯入加密的通信通道。 该攻击不需要有效的 SSL 证书,并且可以针对需要使用证书进行客户端身份验证的系统进行攻击。 在服务器上下文中,该攻击允许您在建立从客户端到 PostgreSQL 服务器的加密连接时替换自己的 SQL 查询。 在 libpq 上下文中,该漏洞允许攻击者向客户端返回伪造的服务器响应。 当结合起来时,这些漏洞允许提取有关客户端密码或在连接早期传输的其他敏感数据的信息。
此外,我们还可以注意到 Yandex 发布了新版本的 Odyssey 1.2 代理服务器,旨在维护与 PostgreSQL DBMS 的开放连接池并组织查询路由。 Odyssey 支持使用多线程处理程序运行多个工作进程,在客户端重新连接时路由到同一服务器,以及将连接池绑定到用户和数据库的能力。 该代码是用 C 语言编写的,并在 BSD 许可证下分发。
新版本的Odyssey增加了在协商SSL会话后阻止数据替换的保护(允许您阻止使用上述漏洞CVE-2021-23214和CVE-2021-23222的攻击)。 已实现对 PAM 和 LDAP 的支持。 添加了与 Prometheus 监控系统的集成。 改进了统计参数的计算,以考虑事务和查询执行时间。
来源: opennet.ru