The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление PostgreSQL с устранением уязвимостей

14.05.2021 11:44

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 13.3, 12.7, 11.12, 10.17 и 9.6.22. Обновления для ветки 9.6 будут формироваться до ноября 2021 года, 10 - до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 до ноября 2025 года. В новых выпусках устранены три уязвимости и исправлены накопившиеся ошибки.

Уязвимость CVE-2021-32027 может привести к записи данных за границы буфера из-за целочисленного переполнения при вычислениях индексов массивов. Через манипуляцию со значениями массивов в SQL-запросах атакующий, имеющий доступ к выполнению запросов SQL, может записать любые данные в произвольную область памяти процесса и добиться выполнения своего кода с правами сервера СУБД. Две другие уязвимости (CVE-2021-32028, CVE-2021-32029) приводят к утечке содержимого памяти процесса при манипуляции с запросами "INSERT ... ON CONFLICT ... DO UPDATE" и "UPDATE ... RETURNING".

Из не связанных с уязвимостями исправлений можно выделить:

  • Устранение некорректных вычислений при выполнении "UPDATE ... RETURNING" для обновления объединённых сегментированных таблиц.
  • Устранение сбоя команды "ALTER TABLE ... ALTER CONSTRAINT" при наличии ограничений для внешних ключей в сочетании с использованием сегментированных таблиц.
  • Налажена работа функциональности "COMMIT AND CHAIN".
  • Для новых выпусков FreeBSD обеспечено выставление по умолчанию режима fdatasync в thatwal_sync_method.
  • Отключен по умолчанию параметр vacuum_cleanup_index_scale_factor.
  • Исправлены утечки памяти, проявляющиеся при инициализации TLS -соединений.
  • В pg_upgrade добавлены дополнительные проверки на наличие в пользовательских таблицах типов данных, не подлежащих обновлению.


  1. Главная ссылка к новости (https://www.postgresql.org/abo...)
  2. OpenNews: Обновление PostgreSQL с устранением уязвимостей
  3. OpenNews: Релиз СУБД PostgreSQL 13
  4. OpenNews: Для PostgreSQL подготовлено дополнение AGE для хранения данных в форме графа
  5. OpenNews: PostgreSQL Anonymizer 0.6, расширение для анонимизации данных в СУБД
  6. OpenNews: Обновление PostgreSQL с устранением уязвимости. Выпуск системы репликации pgcat
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55148-postgresql
Ключевые слова: postgresql
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, клавиатур (?), 12:24, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Дважды наблюдал как пробивали за короткий срок постгрес выставленный опой наружу в инет с последующим заражением убунты. Навешивали майнер + брутфорс паролей по ссш на другие машины в подсети.
     
     
  • 2.2, Аноним (2), 12:45, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Надеюсь на третий раз ты все-таки смог настроить фаервол?
     
     
  • 3.4, клавиатур (?), 13:01, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –12 +/
    Эксперт на линии?
    На что ты там надеешся сугубо твои проблемы.
     
     
  • 4.7, anonymous (??), 13:17, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Я надеюсь (наверное, напрасно), что люди учатся на своих ошибках. Но нет, человечество продолжает не разочаровывать в своей тупости.
     
     
  • 5.9, клавиатур (?), 13:38, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Понимаю, ты тут один умный из всего человечества.
    Продолжай надеятся и разочаровыватся, это самое важное.
     
     
  • 6.10, anonymous (??), 14:12, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Понимаю, ты тут один умный из всего человечества.

    Верно подмечено, смелый юнлинг, видно в ваших академиях не только риторике учат, но и иногда заставляют голову включать!

     
  • 6.37, Michael Shigorin (ok), 10:02, 15/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    1) надеюсь, это не Вы додумались выставлять зады банных в сеть, так-то это и двадцать лет назад было плоской шуткой;
    2) http://tsya.ru;
    3) обратите, пожалуйста, внимание на правила форума: http://wiki.opennet.ru/ForumHelp -- незачем отгавкиваться, когда человек вообще-то по существу пишет (и вдруг кому-то это ещё пригодится намотать на ус, научившись заранее на чужих шишках).

    PS: #22 почитал, это стоило сразу сказать во избежание вот этого всего.

     
  • 4.38, Shnorr (?), 12:15, 16/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Апщем-то даже в мускуле стандартная схема это подключение к бд внутри ssh.

    ssh по сертификату (ну или с паролем но на нестандартном порту и с port knocking)

     
  • 4.44, Леголас (ok), 05:49, 22/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А. Аршавин, залогиньтесь
     
  • 3.6, Урри (ok), 13:13, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А не подскажете настройку файрвола, которая отличает нормального клиента от хакера?
     
     
  • 4.8, anonymous (??), 13:23, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    iptables -F
    iptables -A INPUT -p 22 --src $TRUST_NETWORK -j ACCEPT
    iptables -A INPUT -p 5432 --src $POSTGRES_CLIENT -j ACCEPT
    iptables -P INPUT DENY
     
     
  • 5.16, Аноним (16), 14:57, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А нахрена позволять цепляться к Постгресу из инета вообще кому-либо? Для своих доступ через VPN только.
     
     
  • 6.29, Аноним (29), 19:54, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удорожает. Уходят деньги на людей для саппорта. Дешевле схалтурить и выставить голым портом в интернет. Но может быть важно успеть уволиться, пока поймут что сделал для проекта. Не всегда можно успеть.
     
  • 6.42, Аноним (42), 18:43, 17/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    TLS/SSL настроить проще чем VPN и работает лучше.
     
  • 5.19, Аноним (-), 16:04, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вроде iptables устарел, теперь надо nftables юзать
     
     
  • 6.28, llolik (ok), 19:44, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    как-то так

    flush ruleset
    table inet filter {
        type filter hook input priority 0; policy drop;
        iif ${TRUST_NETWORK} tcp dport 22 accept;
        iif ${$POSTGRES_CLIENT} tcp dport 5432 accept;
    }

     
  • 4.32, СеменСеменыч777 (?), 21:33, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А не подскажете настройку файрвола

    "все пропускать во всех направлениях".
    фаерволлы снижают производительность сети.

    > отличает нормального клиента от хакера?

    туннель с проверкой сертификата (или контрольной суммы ключа)
    с 0.0.0.0 на 127.0.0.1, на котором и принимает соединения дырософт.
    подразумевается что хаксор ключа не имеет, а нормальный клиент - имеет.

     
  • 2.3, Аноним (3), 12:45, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пароль не пробовал нормальный придумать для суперюзера или доступ ему закрыть из внешней сети?
     
     
  • 3.5, клавиатур (?), 13:02, 14/05/2021 Скрыто модератором
  • –2 +/
     
     
  • 4.11, HeavyMetal (?), 14:36, 14/05/2021 Скрыто модератором
  • –1 +/
     
     
  • 5.17, Аноним (17), 15:09, 14/05/2021 Скрыто модератором
  • +/
     
     
  • 6.18, Другой_Анон (?), 15:48, 14/05/2021 Скрыто модератором
  • +/
     
     
  • 7.22, клавиатур (?), 16:52, 14/05/2021 Скрыто модератором
  • –1 +/
     
  • 6.30, Аноним (29), 20:00, 14/05/2021 Скрыто модератором
  • –3 +/
     
  • 5.21, клавиатур (?), 16:40, 14/05/2021 Скрыто модератором
  • –1 +/
     
  • 2.13, Аноним (13), 14:41, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне интесно было бы узнать подробности (я не тролю или что-то такое).
    Скажите пожалуйста - а были ли там настроены ограничени доступа по IP в hba.conf?
     
     
  • 3.14, Аноним (14), 14:51, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С ограничениями новомодное веб-приложение не работало, забили по-быстренькому 0.0.0.0 all.
     
     
  • 4.23, клавиатур (?), 16:58, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ответ очередного фантазера на свои фантазии.
    Забыл про вебмакак написать, они еще в тренде.
     
  • 3.24, клавиатур (?), 16:59, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Добра. Посмотри мой ответ на 7.22.
     
     
  • 4.43, Аноним (43), 01:55, 19/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том что ты врёшь.
     
  • 2.26, Аноним (26), 17:26, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Интересно как дела с марией обстоят в этом плане
     
     
  • 3.33, Ilya Indigo (ok), 23:00, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  Интересно как дела с марией обстоят в этом плане

    В MariaDB есть прекраснейший параметр skip-networking, который вообще отрубает слушателя от сети, разрешая работать только через socket.

     

  • 1.25, YetAnotherOnanym (ok), 17:12, 14/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Устранение некорректных вычислений

    Мда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт. По десять раз каждую скобку в своём коде выверил, все сроки сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно как оказывается.
    У меня не с сабжем, у меня с другой софтиной было. Но тех, кто наступил - очень хорошо понимаю и им сочувствую.

     
     
  • 2.31, Аноним (29), 20:03, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Устранение некорректных вычислений
    > Мда... Вот так пишешь аппликуху, всё по мануалу, а оно фигню выдаёт.
    > По десять раз каждую скобку в своём коде выверил, все сроки
    > сорвал, деньги потерял, репутацию рукожопа поимел, а оно потом вон оно
    > как оказывается.
    > У меня не с сабжем, у меня с другой софтиной было. Но
    > тех, кто наступил - очень хорошо понимаю и им сочувствую.

    Типа того. Иногда случается с разным софтом.

    Бывает можно вовремя уверенно сказать: а у Вас вон там неясное бесперспективное сбоилово - выбрасываем или терпим с таким диагнозом.

     
  • 2.35, Аноним (35), 07:58, 15/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Епеой смысл верить мануалу, если в отладчике видно что не так? Дальше обычно нужно разобраться, почему. Иногда это баг, иногда недокументированная особенность. Ничего ужасного для процесса разработки.
     
  • 2.36, Аноним (35), 08:03, 15/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я имею в виду, что это за разработка без отладки. Даже если проблема в твоём коде, ты её гораздо быстрее найдёшь когда у тебя уже есть баг. Лучше всего расценивать весь код как твой конечно, но это не всегда возможно. Если это не на проде, то всё вообще прекрасно. На проде надо всего лишь срочно накостылять хоть что-то и никакие сроки не будут сорваны.
     
  • 2.40, Аноним (40), 13:40, 17/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нефиг пилить по мануалам. Мануалы-это кто-то что-то там начиркал, очень часто это вообще левый чувак, отдалённо относящийся к проекту. Тащишь чужой код-будь готов отлаживать его, и/или копаться в его исходниках. Кто сказал, что будет легко? Привет всем, кто талдычить про nih синдромы. Очень часто проще и дешевле с нуля сваять свою реализацию, чем тащить в проект тонны чужого кода и возиться потом с ним.
     
     
  • 3.41, YetAnotherOnanym (ok), 15:20, 17/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, по-разному бывает. Есть продукты очень хорошо документированнвые. И если что-то в доках не совпадает с поведением программы, пишешь в рассылку, там сразу признают косяк (ну бывает, коммит мержнули, а доку поправить не успели). А есть такие, где на доки просто забили. Приходится гуглить мэйллисты, спрашивать на форумах, лезть в код (который ещё и без комментариев) и так далее. Но там хоть сразу понимаешь, что разбираться надо самому.
    А вот кода документация вроде подробная и правильная, а программа делает не то, причём не крашится, не ругается в логах, и не сразу поймёшь, что ошибка вообще есть - вот это очень удручает.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру