В популярной СУБД PostgreSQL устранено несколько уязвимостей

Множество доработок и исправления двух опасных уязвимостей внесли в новые версии системы управления базами данных (СУБД) PostgreSQL разработчики. Информация о новых версиях опубликована 11 ноября на сайте проекта.

Выпущены обновленные версии PostgreSQL 14.1, 13.5, 12.9, 11.14, 10.19 и 9.6.24. Сообщается, что для ветки 9.6 обновление стало последним, дальнейшая поддержка будет осуществляться только для более поздних версий.

В рамках обновлений исправлены две опасные уязвимости с кодами CVE-2021-23214 (сервис PostgreSQL) и CVE-2021-23222 (клиентская библиотека libpq). В комплексе уязвимости позволяют осуществить «атаку посредника» (MITM) через шифрованный канал связи.

Атака может быть проведена против систем с PostgreSQL с аутентификацией по сертификату. Во время установки шифрованного соединения злоумышленник может добиться выполнения произвольного SQL-запроса.

CVE-2021-23222 позволяет злоумышленнику вернуть клиентской стороне фиктивный ответ. Вместе уязвимости позволяют получить пароль и другую конфиденциальную информацию клиента. Помимо уязвимостей в код СУБД внесено более 40 исправлений.