aggiornamenti correttivi per tutti i rami PostgreSQL supportati: , , , и . Rilascio aggiornamenti per il ramo 9.4 fino a dicembre 2019, 9.5 fino a gennaio 2021, 9.6 fino a settembre 2021, 10 fino a ottobre 2022, 11 fino a novembre 2023.
Le nuove versioni correggono 25 bug ed eliminano una vulnerabilità (CVE-2019-10164) che potrebbe portare a un overflow del buffer quando un utente modifica la propria password. Utilizzando questa vulnerabilità, un utente malintenzionato locale con accesso a PostgreSQL può, impostando una password molto lunga, organizzare l'esecuzione del suo codice con i diritti dell'utente con cui è in esecuzione il DBMS. Inoltre, la vulnerabilità può essere sfruttata dal lato utente durante il processo di passaggio dell'autenticazione SCRAM da parte di un client basato su libpq quando l'utente accede a un server PostgreSQL controllato da un utente malintenzionato. Il problema si presenta nei rami PostgreSQL 10, 11 e 12-beta.
Fonte: opennet.ru