Жаңа нұсқалар 25 қатені түзетеді және пайдаланушы құпия сөзін өзгерткен кезде буфердің толып кетуіне әкелуі мүмкін осалдықты (CVE-2019-10164) жояды. Осы осалдықты пайдалана отырып, PostgreSQL-ке рұқсаты бар жергілікті шабуылдаушы өте ұзақ құпия сөзді орнату арқылы ДҚБЖ жұмыс істейтін пайдаланушының құқықтарымен өз кодының орындалуын ұйымдастыра алады. Бұған қоса, осалдықты пайдаланушы шабуылдаушы басқаратын PostgreSQL серверіне кірген кезде SCRAM аутентификациясынан өтетін libpq негізіндегі клиент процесі кезінде пайдалануға болады. Мәселе PostgreSQL 10, 11 және 12-бета тармақтарында пайда болады.
Ақпарат көзі: opennet.ru