已為所有受支援的 PostgreSQL 分支產生修正更新:13.3、12.7、11.12、10.17 和 9.6.22。 分支 9.6 的更新將在 2021 年 10 月之前生成,2022 到 11 年 2023 月生成,12 到 2024 年 13 月生成,2025 到 XNUMX 年 XNUMX 月生成,XNUMX 到 XNUMX 年 XNUMX 月生成。 新版本消除了三個漏洞並修復了累積的錯誤。
漏洞 CVE-2021-32027 可能會因陣列索引計算期間的整數溢位而導致緩衝區寫入越界。 透過操縱 SQL 查詢中的陣列值,有權執行 SQL 查詢的攻擊者可以將任何資料寫入進程記憶體的任意區域,並以 DBMS 伺服器的權限實現其程式碼的執行。 另外兩個漏洞(CVE-2021-32028、CVE-2021-32029)會在操作「INSERT ... ON CONFLICT ... DO UPDATE」和「UPDATE ... RETURNING」請求時導致進程記憶體內容洩漏。
非漏洞修復包括:
- 消除執行「UPDATE...RETURNING」更新聯結分片表時的錯誤計算。
- 修復當存在外鍵約束並使用分區表時“ALTER TABLE ... ALTER CONSTRAINT”命令失敗的問題。
- 「提交和鏈」功能已改進。
- 對於 FreeBSD 的新版本,fdatasync 模式現在預設為 thatwal_sync_method。
- 預設情況下,vacuum_cleanup_index_scale_factor 參數處於停用狀態。
- 修復了初始化 TLS 連線時發生的記憶體洩漏。
- pg_upgrade 新增了額外的檢查,以檢查使用者表中是否存在無法升級的資料類型。
來源: opennet.ru