به روز رسانی های اصلاحی برای همه شاخه های پشتیبانی شده PostgreSQL: , , , и انتشار بهروزرسانیها برای شاخه ۹.۴ تا دسامبر 2019، 9.5 تا ژانویه 2021، 9.6 تا سپتامبر 2021، 10 تا اکتبر 2022، 11 تا نوامبر 2023.
نسخههای جدید ۲۵ اشکال را برطرف کرده و یک آسیبپذیری (CVE-2019-10164) را که میتواند منجر به سرریز بافر هنگام تغییر رمز عبور کاربر شود، از بین میبرند. این آسیبپذیری به یک مهاجم محلی با دسترسی به PostgreSQL اجازه میدهد تا با تنظیم یک رمز عبور بسیار طولانی، کدی را با امتیازات کاربری که DBMS تحت آن اجرا میشود، اجرا کند. علاوه بر این، این آسیبپذیری میتواند در سمت کاربر در حین احراز هویت SCRAM یک کلاینت مبتنی بر libpq، هنگامی که کاربر به یک سرور PostgreSQL تحت کنترل مهاجم دسترسی پیدا میکند، مورد سوءاستفاده قرار گیرد. این مشکل نسخههای ۱۰، ۱۱ و ۱۲ بتای PostgreSQL را تحت تأثیر قرار میدهد.
منبع: opennet.ru
