As novas versións corrixen 25 erros e eliminan unha vulnerabilidade (CVE-2019-10164) que podería provocar un desbordamento do búfer cando un usuario cambia o seu contrasinal. Usando esta vulnerabilidade, un atacante local con acceso a PostgreSQL pode, ao establecer un contrasinal moi longo, organizar a execución do seu código cos dereitos do usuario baixo o que se está a executar o DBMS. Ademais, a vulnerabilidade pódese explotar no lado do usuario durante o proceso de que un cliente baseado en libpq pase a autenticación SCRAM cando o usuario accede a un servidor PostgreSQL controlado por un atacante. O problema aparece nas ramas PostgreSQL 10, 11 e 12 beta.
Fonte: opennet.ru