koriģējošie atjauninājumi visām atbalstītajām PostgreSQL filiālēm: , , , и . Atjauninājumu izlaišana filiālei 9.4 līdz 2019. gada decembrim, 9.5 līdz 2021. gada janvārim, 9.6 līdz 2021. gada septembrim, 10 līdz 2022. gada oktobrim, 11 līdz 2023. gada novembrim.
Jaunās versijas izlabo 25 kļūdas un novērš ievainojamību (CVE-2019-10164), kas var izraisīt bufera pārpildīšanu, kad lietotājs maina savu paroli. Izmantojot šo ievainojamību, vietējais uzbrucējs ar piekļuvi PostgreSQL, iestatot ļoti garu paroli, var organizēt sava koda izpildi ar tā lietotāja tiesībām, ar kuru darbojas DBVS. Turklāt ievainojamību var izmantot lietotāja pusē, kad libpq klients nodod SCRAM autentifikāciju, kad lietotājs piekļūst PostgreSQL serverim, kuru kontrolē uzbrucējs. Problēma parādās PostgreSQL 10, 11 un 12 beta filiālēs.
Avots: opennet.ru