Nowe wersje poprawiają 25 błędów i eliminują lukę (CVE-2019-10164), która może prowadzić do przepełnienia bufora w przypadku zmiany hasła przez użytkownika. Wykorzystując tę lukę, lokalny atakujący posiadający dostęp do PostgreSQL może, ustawiając bardzo długie hasło, zorganizować wykonanie swojego kodu z uprawnieniami użytkownika, na którym działa system DBMS. Ponadto lukę można wykorzystać po stronie użytkownika podczas procesu, w którym klient oparty na bibliotece libpq przechodzi uwierzytelnianie SCRAM, gdy użytkownik uzyskuje dostęp do serwera PostgreSQL kontrolowanego przez osobę atakującą. Problem pojawia się w gałęziach PostgreSQL 10, 11 i 12-beta.
Źródło: opennet.ru