Uued versioonid parandavad 25 viga ja kõrvaldavad haavatavuse (CVE-2019-10164), mis võib põhjustada puhvri ületäitumise, kui kasutaja oma parooli muudab. Seda haavatavust kasutades saab PostgreSQL-ile juurdepääsu omav kohalik ründaja väga pika parooli määramisega korraldada oma koodi täitmise selle kasutaja õigustega, mille all DBMS töötab. Lisaks saab haavatavust ära kasutada kasutaja poolel, kui libpq-põhine klient läbib SCRAM-i autentimise, kui kasutaja siseneb ründaja juhitavale PostgreSQL-serverile. Probleem ilmneb PostgreSQL 10, 11 ja 12-beeta harudes.
Allikas: opennet.ru