已为所有受支持的 PostgreSQL 分支生成纠正更新:13.4、12.8、11.13、10.18 和 9.6.23。 分支 9.6 的更新将在 2021 年 10 月之前生成,2022 到 11 年 2023 月生成,12 到 2024 年 13 月生成,2025 到 XNUMX 年 XNUMX 月生成,XNUMX 到 XNUMX 年 XNUMX 月生成。
新版本提供了 75 个修复并消除了 CVE-2021-3677 漏洞,该漏洞允许通过特制请求读取服务器进程内存的内容。 任何有权执行 SQL 查询的用户都可以执行该攻击。 只有 PostgreSQL 分支 11、12 和 13 受到该问题的影响。已知的攻击变体不会影响 max_worker_processes=0 设置的配置,但可能存在不依赖此设置的变体。
来源: opennet.ru