Le nuove versioni correggono 25 bug ed eliminano una vulnerabilità (CVE-2019-10164) che potrebbe portare a un overflow del buffer quando un utente modifica la propria password. Utilizzando questa vulnerabilità, un utente malintenzionato locale con accesso a PostgreSQL può, impostando una password molto lunga, organizzare l'esecuzione del suo codice con i diritti dell'utente con cui è in esecuzione il DBMS. Inoltre, la vulnerabilità può essere sfruttata dal lato utente durante il processo di passaggio dell'autenticazione SCRAM da parte di un client basato su libpq quando l'utente accede a un server PostgreSQL controllato da un utente malintenzionato. Il problema si presenta nei rami PostgreSQL 10, 11 e 12-beta.
Fonte: opennet.ru