已為所有受支援的 PostgreSQL 分支產生修正更新:13.4、12.8、11.13、10.18 和 9.6.23。 分支 9.6 的更新將在 2021 年 10 月之前生成,2022 到 11 年 2023 月生成,12 到 2024 年 13 月生成,2025 到 XNUMX 年 XNUMX 月生成,XNUMX 到 XNUMX 年 XNUMX 月生成。
新版本提供了 75 個修復並消除了 CVE-2021-3677 漏洞,該漏洞允許透過特製請求讀取伺服器進程記憶體的內容。 任何有權執行 SQL 查詢的使用者都可以執行該攻擊。 只有 PostgreSQL 分支 11、12 和 13 受到該問題的影響。已知的攻擊變體不會影響 max_worker_processes=0 設定的配置,但可能存在不依賴此設定的變體。
來源: opennet.ru