已為所有受支援的 PostgreSQL 分支產生修正更新:13.3、12.7、11.12、10.17 和 9.6.22。 分支 9.6 的更新將在 2021 年 10 月之前生成,2022 到 11 年 2023 月生成,12 到 2024 年 13 月生成,2025 到 XNUMX 年 XNUMX 月生成,XNUMX 到 XNUMX 年 XNUMX 月生成。 新版本消除了三個漏洞並修復了累積的錯誤。
漏洞 CVE-2021-32027 會導致在計算數組索引時發生整數溢出,從而造成資料越界寫入。攻擊者可以透過在 SQL 查詢中操縱陣列值,並利用執行 SQL 查詢的權限,將任意資料寫入進程記憶體的任意區域,並以特權執行其程式碼。 服務器 DBMS。另外兩個漏洞(CVE-2021-32028、CVE-2021-32029)在操作「INSERT … ON CONFLICT … DO UPDATE」和「UPDATE … RETURNING」查詢時會導致進程記憶體洩漏。
非漏洞修復包括:
- 消除執行「UPDATE...RETURNING」更新聯結分片表時的錯誤計算。
- 修復當存在外鍵約束並使用分區表時“ALTER TABLE ... ALTER CONSTRAINT”命令失敗的問題。
- 「提交和鏈」功能已改進。
- 對於 FreeBSD 的新版本,fdatasync 模式現在預設為 thatwal_sync_method。
- 預設情況下,vacuum_cleanup_index_scale_factor 參數處於停用狀態。
- 修復了初始化 TLS 連線時發生的記憶體洩漏。
- pg_upgrade 新增了額外的檢查,以檢查使用者表中是否存在無法升級的資料類型。
來源: opennet.ru
