Korrektur-Updates für alle unterstützten PostgreSQL-Versionen: , , , und . Veröffentlichung von Updates für die Version 9.4 sind bis Dezember 2019, 9.5 bis Januar 2021, 9.6 – bis September 2021, 10 – bis Oktober 2022, 11 – bis November 2023 erhältlich.
In den neuen Versionen wurden 25 Fehler behoben und eine Sicherheitsanfälligkeit (CVE-2019-10164) beseitigt, die zu einem Pufferüberlauf führen kann, wenn ein Benutzer sein Passwort ändert. Mittels dieser Schwachstelle kann ein lokaler Angreifer mit Zugriff auf PostgreSQL durch die Verwendung eines sehr langen Passworts die Ausführung seines eigenen Codes mit den Rechten des Benutzers ermöglichen, unter dem die Datenbank ausgeführt wird. Zudem kann die Schwachstelle auf der Benutzerseite während des SCRAM-Authentifizierungsprozesses eines Clients basierend auf libpq ausgenutzt werden, wenn der Benutzer auf einen von dem Angreifer kontrollierten PostgreSQL-Server zugreift. Das Problem tritt in den Versionen PostgreSQL 10, 11 und 12-beta auf.
Quelle: opennet.ru
