Az új verziók 25 hibát javítanak ki, és kiküszöbölnek egy biztonsági rést (CVE-2019-10164), amely puffertúlcsorduláshoz vezethet, amikor a felhasználó megváltoztatja jelszavát. A biztonsági rés segítségével a PostgreSQL-hez hozzáféréssel rendelkező helyi támadó egy nagyon hosszú jelszó beállításával megszervezheti kódja végrehajtását annak a felhasználónak a jogaival, amely alatt a DBMS fut. Ezenkívül a sérülékenység kihasználható a felhasználói oldalon egy libpq-alapú kliens SCRAM-hitelesítési folyamata során, amikor a felhasználó hozzáfér egy támadó által vezérelt PostgreSQL-kiszolgálóhoz. A probléma a PostgreSQL 10, 11 és 12 béta ágaiban jelenik meg.
Forrás: opennet.ru