Die nuwe weergawes maak 25 foute reg en skakel 'n kwesbaarheid uit (CVE-2019-10164) wat kan lei tot 'n bufferoorloop wanneer 'n gebruiker hul wagwoord verander. Deur hierdie kwesbaarheid te gebruik, kan 'n plaaslike aanvaller met toegang tot PostgreSQL, deur 'n baie lang wagwoord in te stel, die uitvoering van sy kode organiseer met die regte van die gebruiker waaronder die DBMS loop. Daarbenewens kan die kwesbaarheid aan die gebruikerkant uitgebuit word tydens die proses van 'n libpq-gebaseerde kliΓ«nt wat SCRAM-verifikasie deurgee wanneer die gebruiker toegang tot 'n PostgreSQL-bediener kry wat deur 'n aanvaller beheer word. Die probleem verskyn in die PostgreSQL 10, 11 en 12-beta takke.
Bron: opennet.ru