Обновление PostgreSQL с устранением уязвимостей. Выпуск балансировщика соединений Odyssey 1.2
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 и 9.6.24. Выпуск 9.6.24 станет последним обновлением для ветки 9.6, поддержка которой прекращена. Обновления для ветки 10 будут формироваться до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 - до ноября 2025 года, 14 - до ноября 2026 года.
В новых версиях предложено более 40 исправлений и устранены две уязвимости (CVE-2021-23214, CVE-2021-23222) в серверном процессе и клиентской библиотеке libpq. Уязвимости позволяют атакующему вклиниться в шифрованный канал связи через проведение MITM-атаки. Атака не требует наличия корректного SSL-сертификата и может быть проведена против систем, требующих аутентификации клиента по сертификату. В контексте сервера атака позволяет осуществить подстановку своего SQL-запроса в момент установки шифрованного соединения клиента с севером PostgreSQL.
В контексте libpq уязвимость позволяет атакующему вернуть клиенту фиктивный ответ сервера. В сочетании уязвимости позволяют извлечь информацию о пароле или других конфиденциальных данных клиента, передаваемых на раннем этапе соединения.
Дополнительно можно отметить публикацию компанией Yandex новой версии прокси-сервера Odyssey 1.2, предназначенного для поддержания пула открытых соединений к СУБД PostgreSQL и организации маршрутизации запросов. Odyssey поддерживает запуск нескольких рабочих процессов с многопоточными обработчиками, направление к тому же серверу при повторном соединении клиента, возможность привязки пулов соединений к пользователям и БД. Код написан на языке Си и распространяется под лицензией BSD.
В новой версии Odyssey добавлена защита для блокирования подстановки данных после согласования SSL-сеанса (позволяет блокировать атаки с использованием вышеотмеченных уязвимостей CVE-2021-23214 и CVE-2021-23222). Реализована поддержка PAM и LDAP. Добавлена интеграция системой мониторинга Prometheus. Улучшено вычисление параметров статистики для учёта времени выполнения транзакций и запросов.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.postgresql.org/abo...)
- OpenNews: Яндекс опубликовал Odyssey, многопоточный балансировщик соединений для PostgreSQL
- OpenNews: Сторонняя организация пытается зарегистрировать торговую марку PostgreSQL в Европе и США
- OpenNews: Проект MangoDB развивает реализацию протокола СУБД MongoDB поверх PostgreSQL
- OpenNews: Amazon открыл код Babelfish, расширений для замены MS SQL Server на PostgreSQL
- OpenNews: Релиз СУБД PostgreSQL 14
Похожие новости:
- Проект MangoDB развивает реализацию протокола СУБД MongoDB поверх PostgreSQL
- Проект PostgREST развивает RESTful API демон для PostgreSQL
- Amazon открыл код Babelfish, расширений для замены MS SQL Server на PostgreSQL
- Релиз СУБД PostgreSQL 14
- В Нижнем Новгороде состоится конференция по PostgreSQL
- Сторонняя организация пытается зарегистрировать торговую марку PostgreSQL в Европе и США
- Обновление PostgreSQL с устранением уязвимости
- [Высокая производительность, PostgreSQL, SQL, Администрирование баз данных] Борем deadlock при пакетном UPDATE
- [Oracle, PostgreSQL, SQL] Почему мы перешли с Oracle на PostgeSQL, и как это сделать
- [PostgreSQL, Администрирование баз данных, Big Data, DevOps] Mail.ru Cloud Solutions открывает доступ к Arenadata DB Cloud версии Enterprise
Теги для поиска: #_postgresql, #_odyssey
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:26
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 14.1, 13.5, 12.9, 11.14, 10.19 и 9.6.24. Выпуск 9.6.24 станет последним обновлением для ветки 9.6, поддержка которой прекращена. Обновления для ветки 10 будут формироваться до ноября 2022 года, 11 - до ноября 2023 года, 12 - до ноября 2024 года, 13 - до ноября 2025 года, 14 - до ноября 2026 года. В новых версиях предложено более 40 исправлений и устранены две уязвимости (CVE-2021-23214, CVE-2021-23222) в серверном процессе и клиентской библиотеке libpq. Уязвимости позволяют атакующему вклиниться в шифрованный канал связи через проведение MITM-атаки. Атака не требует наличия корректного SSL-сертификата и может быть проведена против систем, требующих аутентификации клиента по сертификату. В контексте сервера атака позволяет осуществить подстановку своего SQL-запроса в момент установки шифрованного соединения клиента с севером PostgreSQL. В контексте libpq уязвимость позволяет атакующему вернуть клиенту фиктивный ответ сервера. В сочетании уязвимости позволяют извлечь информацию о пароле или других конфиденциальных данных клиента, передаваемых на раннем этапе соединения. Дополнительно можно отметить публикацию компанией Yandex новой версии прокси-сервера Odyssey 1.2, предназначенного для поддержания пула открытых соединений к СУБД PostgreSQL и организации маршрутизации запросов. Odyssey поддерживает запуск нескольких рабочих процессов с многопоточными обработчиками, направление к тому же серверу при повторном соединении клиента, возможность привязки пулов соединений к пользователям и БД. Код написан на языке Си и распространяется под лицензией BSD. В новой версии Odyssey добавлена защита для блокирования подстановки данных после согласования SSL-сеанса (позволяет блокировать атаки с использованием вышеотмеченных уязвимостей CVE-2021-23214 и CVE-2021-23222). Реализована поддержка PAM и LDAP. Добавлена интеграция системой мониторинга Prometheus. Улучшено вычисление параметров статистики для учёта времени выполнения транзакций и запросов. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:26
Часовой пояс: UTC + 5