aktualizacje korygujące dla wszystkich obsługiwanych gałęzi PostgreSQL: , , , и . Wydanie aktualizacji dla gałęzi 9.4 do grudnia 2019 r., 9.5 do stycznia 2021 r., 9.6 do września 2021 r., 10 do października 2022 r., 11 do listopada 2023 r.
Nowe wersje poprawiają 25 błędów i eliminują lukę (CVE-2019-10164), która może prowadzić do przepełnienia bufora w przypadku zmiany hasła przez użytkownika. Wykorzystując tę lukę, lokalny atakujący posiadający dostęp do PostgreSQL może, ustawiając bardzo długie hasło, zorganizować wykonanie swojego kodu z uprawnieniami użytkownika, na którym działa system DBMS. Ponadto lukę można wykorzystać po stronie użytkownika podczas procesu, w którym klient oparty na bibliotece libpq przechodzi uwierzytelnianie SCRAM, gdy użytkownik uzyskuje dostęp do serwera PostgreSQL kontrolowanego przez osobę atakującą. Problem pojawia się w gałęziach PostgreSQL 10, 11 i 12-beta.
Źródło: opennet.ru