Les nouvelles versions corrigent 25 bugs et éliminent une vulnérabilité (CVE-2019-10164) qui pourrait entraîner un débordement de tampon lorsqu'un utilisateur modifie son mot de passe. Grâce à cette vulnérabilité, un attaquant local ayant accès à PostgreSQL peut, en définissant un mot de passe très long, organiser l'exécution de son code avec les droits de l'utilisateur sous lequel s'exécute le SGBD. De plus, la vulnérabilité peut être exploitée du côté de l'utilisateur lors du processus par lequel un client basé sur libpq passe l'authentification SCRAM lorsque l'utilisateur accède à un serveur PostgreSQL contrôlé par un attaquant. Le problème apparaît dans les branches PostgreSQL 10, 11 et 12 bêta.
Source: opennet.ru