actualizacións correctivas para todas as ramas de PostgreSQL compatibles: , , , и . Lanzamento de actualizacións para a rama 9.4 ata decembro de 2019, 9.5 ata xaneiro de 2021, 9.6 ata setembro de 2021, 10 ata outubro de 2022, 11 ata novembro de 2023.
As novas versións corrixen 25 erros e eliminan unha vulnerabilidade (CVE-2019-10164) que podería provocar un desbordamento do búfer cando un usuario cambia o seu contrasinal. Usando esta vulnerabilidade, un atacante local con acceso a PostgreSQL pode, ao establecer un contrasinal moi longo, organizar a execución do seu código cos dereitos do usuario baixo o que se está a executar o DBMS. Ademais, a vulnerabilidade pódese explotar no lado do usuario durante o proceso de que un cliente baseado en libpq pase a autenticación SCRAM cando o usuario accede a un servidor PostgreSQL controlado por un atacante. O problema aparece nas ramas PostgreSQL 10, 11 e 12 beta.
Fonte: opennet.ru