PostgreSQL 安全更新

0x01 漏洞描述

11月12日，360漏洞云監控到PostgreSQL官網發布安全更新，修復了PostgreSQL 弱加密漏洞（CVE-2021-23214）在內的多個漏洞。

PostgreSQL是一種特性非常齊全的自由軟件的對象-關系型數據庫管理系統（ORDBMS），是以加州大學計算機系開發的POSTGRES、4.2版本為基礎的對象關系型數據庫管理系統。

漏洞詳情如下：

CVE-2021-23214 

該漏洞的存在是由于 PostgreSQL 處理加密連接的方式。當服務器被配置為使用trust有clientcert要求的身份驗證或使用cert 身份驗證時，中間人攻擊者可以在首次建立連接時注入任意 SQL 查詢，盡管使用了 SSL 證書驗證和加密。

CVE-2021-23222

該漏洞的存在是由于 PostgreSQL 中的 libpq 進程處理加密連接的方式。盡管使用了 SSL 證書驗證和加密，中間人攻擊者仍可以向客戶端的前幾個查詢注入錯誤響應。攻擊者可以泄露客戶端的密碼或其他可能在會話早期傳輸的機密數據。

0x02 危害等級

高危

0x03 影響版本

PostgreSQL-PostgreSQL >=9.6&&<=14

0x04 修復建議

廠商已發布補丁修復漏洞，用戶請盡快安裝更新。與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

更多信息請參考：

https://www.postgresql.org/about/news/postgresql-141-135-129-1114-1019-and-9624-released-2349/