mises à jour correctives pour toutes les branches PostgreSQL prises en charge : , , , и . Sortie des mises à jour pour la branche 9.4 jusqu'en décembre 2019, 9.5 jusqu'en janvier 2021, 9.6 jusqu'en septembre 2021, 10 jusqu'en octobre 2022, 11 jusqu'en novembre 2023.
Les nouvelles versions corrigent 25 bugs et éliminent une vulnérabilité (CVE-2019-10164) qui pourrait entraîner un débordement de tampon lorsqu'un utilisateur modifie son mot de passe. Grâce à cette vulnérabilité, un attaquant local ayant accès à PostgreSQL peut, en définissant un mot de passe très long, organiser l'exécution de son code avec les droits de l'utilisateur sous lequel s'exécute le SGBD. De plus, la vulnérabilité peut être exploitée du côté de l'utilisateur lors du processus par lequel un client basé sur libpq passe l'authentification SCRAM lorsque l'utilisateur accède à un serveur PostgreSQL contrôlé par un attaquant. Le problème apparaît dans les branches PostgreSQL 10, 11 et 12 bêta.
Source: opennet.ru