барлық қолдау көрсетілетін PostgreSQL филиалдары үшін түзету жаңартулары: , , , и . Филиал үшін жаңартуларды шығару 9.4 2019 жылдың желтоқсанына дейін, 9.5 жылдың қаңтарына дейін 2021, 9.6 жылдың қыркүйегіне дейін 2021, 10 жылдың қазанына дейін 2022, 11 жылдың қарашасына дейін 2023.
Жаңа нұсқалар 25 қатені түзетеді және пайдаланушы құпия сөзін өзгерткен кезде буфердің толып кетуіне әкелуі мүмкін осалдықты (CVE-2019-10164) жояды. Осы осалдықты пайдалана отырып, PostgreSQL-ке рұқсаты бар жергілікті шабуылдаушы өте ұзақ құпия сөзді орнату арқылы ДҚБЖ жұмыс істейтін пайдаланушының құқықтарымен өз кодының орындалуын ұйымдастыра алады. Бұған қоса, осалдықты пайдаланушы шабуылдаушы басқаратын PostgreSQL серверіне кірген кезде SCRAM аутентификациясынан өтетін libpq негізіндегі клиент процесі кезінде пайдалануға болады. Мәселе PostgreSQL 10, 11 және 12-бета тармақтарында пайда болады.
Ақпарат көзі: opennet.ru