javító frissítések az összes támogatott PostgreSQL ághoz: , , , и . Frissítések kiadása a 9.4. ághoz 2019 decemberéig, 9.5 januárjáig 2021, 9.6 szeptemberéig 2021, 10 októberéig 2022, 11 novemberéig 2023.
Az új verziók 25 hibát javítanak ki, és kiküszöbölnek egy biztonsági rést (CVE-2019-10164), amely puffertúlcsorduláshoz vezethet, amikor a felhasználó megváltoztatja jelszavát. A biztonsági rés segítségével a PostgreSQL-hez hozzáféréssel rendelkező helyi támadó egy nagyon hosszú jelszó beállításával megszervezheti kódja végrehajtását annak a felhasználónak a jogaival, amely alatt a DBMS fut. Ezenkívül a sérülékenység kihasználható a felhasználói oldalon egy libpq-alapú kliens SCRAM-hitelesítési folyamata során, amikor a felhasználó hozzáfér egy támadó által vezérelt PostgreSQL-kiszolgálóhoz. A probléma a PostgreSQL 10, 11 és 12 béta ágaiban jelenik meg.
Forrás: opennet.ru