به روزرسانی های اصلاحی برای همه شاخه های پشتیبانی شده PostgreSQL ایجاد شده است: 13.3 ، 12.7 ، 11.12 ، 10.17 و 9.6.22. به روزرسانی های شاخه 9.6 تا نوامبر 2021 ، 10 تا نوامبر 2022 ، 11 تا نوامبر 2023 ، 12 تا نوامبر 2024 ، 13 تا نوامبر 2025 ایجاد می شود. در نسخه های جدید ، سه آسیب پذیری برطرف شده و اشکالات جمع شده برطرف شده اند.
آسیب پذیری CVE-2021-32027 به دلیل سرریز عدد صحیح در محاسبات شاخص آرایه می تواند منجر به نوشتن داده ها از مرز بافر شود. با دستکاری مقادیر آرایه ها در SQL query ، مهاجمی که به اجرای query های SQL دسترسی دارد می تواند هر داده ای را در یک قسمت دلخواه از حافظه پردازش بنویسد و با حقوق یک سرور DBMS به اجرای کد خود برسد. دو آسیب پذیری دیگر (CVE-2021-32028 ، CVE-2021-32029) هنگام دستکاری INSERT … ON CONFLICT … DO UPDATE و UPDATE … RETURNING query منجر به نشت حافظه فرایند می شود.
اصلاحات غیر آسیب پذیر شامل موارد زیر است:
- برای به روزرسانی جداول خرد شده ، هنگام انجام "UPDATE … RETURNING" محاسبات نادرست را برطرف کنید.
- حل کردن دستور "ALTER TABLE … ALTER CONTRAINT" هنگام انجام شکست
محدودیت های کلید خارجی همراه با جداول خرد شده. - عملکرد "COMMIT AND CHAIN" تنظیم شده است.
- برای نسخه های جدیدتر FreeBSD ، اطمینان حاصل کنید که حالت پیش فرض fdatasync روش wwal_sync_ باشد.
- پارامتر vacuum_cleanup_index_scale_factor به طور پیش فرض غیرفعال شده است.
- هنگام راه اندازی اولیه اتصالات TLS ، نشت حافظه ثابت است.
- بررسی های اضافی برای انواع داده غیرقابل ارتقا در جداول کاربر به pg_upgrade اضافه شد.
OpenNET
نظر شما