Nýju útgáfurnar leiðrétta 25 villur og útrýma varnarleysi (CVE-2019-10164) sem gæti leitt til yfirflæðis biðminni þegar notandi breytir lykilorði sínu. Með því að nota þennan varnarleysi getur staðbundinn árásarmaður með aðgang að PostgreSQL, með því að setja mjög langt lykilorð, skipulagt framkvæmd kóðans síns með réttindum notandans sem DBMS keyrir undir. Að auki er hægt að nýta varnarleysið á notendahliðinni meðan á libpq-byggðum biðlara stendur yfir SCRAM auðkenningu þegar notandinn fer inn á PostgreSQL netþjón sem stjórnað er af árásarmanni. Vandamálið birtist í PostgreSQL 10, 11 og 12-beta greinunum.
Heimild: opennet.ru