regstellende opdaterings vir alle ondersteunde PostgreSQL-takke: , , , ΠΈ . Vrystelling van opdaterings vir tak 9.4 tot Desember 2019, 9.5 tot Januarie 2021, 9.6 tot September 2021, 10 tot Oktober 2022, 11 tot November 2023.
Die nuwe weergawes maak 25 foute reg en skakel 'n kwesbaarheid uit (CVE-2019-10164) wat kan lei tot 'n bufferoorloop wanneer 'n gebruiker hul wagwoord verander. Deur hierdie kwesbaarheid te gebruik, kan 'n plaaslike aanvaller met toegang tot PostgreSQL, deur 'n baie lang wagwoord in te stel, die uitvoering van sy kode organiseer met die regte van die gebruiker waaronder die DBMS loop. Daarbenewens kan die kwesbaarheid aan die gebruikerkant uitgebuit word tydens die proses van 'n libpq-gebaseerde kliΓ«nt wat SCRAM-verifikasie deurgee wanneer die gebruiker toegang tot 'n PostgreSQL-bediener kry wat deur 'n aanvaller beheer word. Die probleem verskyn in die PostgreSQL 10, 11 en 12-beta takke.
Bron: opennet.ru