Yeni sürümler 25 hatayı düzeltiyor ve kullanıcı parolasını değiştirdiğinde arabellek taşmasına yol açabilecek bir güvenlik açığını (CVE-2019-10164) ortadan kaldırıyor. PostgreSQL'e erişimi olan yerel bir saldırgan, bu güvenlik açığını kullanarak çok uzun bir parola belirleyerek, kodunun yürütülmesini DBMS'nin çalıştığı kullanıcının haklarıyla düzenleyebilir. Ayrıca, kullanıcı saldırgan tarafından kontrol edilen bir PostgreSQL sunucusuna eriştiğinde, libpq tabanlı bir istemcinin SCRAM kimlik doğrulamasını geçmesi işlemi sırasında bu güvenlik açığından kullanıcı tarafında yararlanılabilir. Sorun PostgreSQL 10, 11 ve 12-beta dallarında ortaya çıkıyor.
Kaynak: opennet.ru