Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 и 9.6.24. Выпуск 9.6.24 станет последним обновлением для ветки 9.6, поддержка которой прекращена. Обновления для ветки 10 будут формироваться до ноября 2022 года, 11 – до ноября 2023 года, 12 – до ноября 2024 года, 13 – до ноября 2025 года, 14 – до ноября 2026 года.
В новых версиях предложено более 40 исправлений и устранены две уязвимости (CVE-2021-23214, CVE-2021-23222) в серверном процессе и клиентской библиотеке libpq. Уязвимости позволяют атакующему вклиниться в шифрованный канал связи через проведение MITM-атаки. Атака не требует наличия корректного SSL-сертификата и может быть проведена против систем, требующих аутентификации клиента по сертификату. В контексте сервера атака позволяет осуществить подстановку своего SQL-запроса в момент установки шифрованного соединения клиента с севером PostgreSQL.
В контексте libpq уязвимость позволяет атакующему вернуть клиенту фиктивный ответ сервера. В сочетании уязвимости позволяют извлечь информацию о пароле или других конфиденциальных данных клиента, передаваемых на раннем этапе соединения.
Дополнительно можно отметить публикацию компанией Yandex новой версии прокси-сервера Odyssey 1.2, предназначенного для поддержания пула открытых соединений к СУБД PostgreSQL и организации маршрутизации запросов. Odyssey поддерживает запуск нескольких рабочих процессов с многопоточными обработчиками, направление к тому же серверу при повторном соединении клиента, возможность привязки пулов соединений к пользователям и БД. Код написан на языке Си и распространяется под лицензией BSD.
В новой версии Odyssey добавлена защита для блокирования подстановки данных после согласования SSL-сеанса (позволяет блокировать атаки с использованием вышеотмеченных уязвимостей CVE-2021-23214 и CVE-2021-23222). Реализована поддержка PAM и LDAP. Добавлена интеграция системой мониторинга Prometheus. Улучшено вычисление параметров статистики для учёта времени выполнения транзакций и запросов.