Desteklenen tüm PostgreSQL dalları için düzeltici güncellemeler: , , , и . Şube 9.4 için güncellemelerin yayınlanması Aralık 2019'a kadar 9.5, Ocak 2021'e kadar 9.6, Eylül 2021'e kadar 10, 2022 Ekim 11'ye kadar, 2023 Kasım XNUMX'e kadar.
Yeni sürümler 25 hatayı düzeltiyor ve kullanıcı parolasını değiştirdiğinde arabellek taşmasına yol açabilecek bir güvenlik açığını (CVE-2019-10164) ortadan kaldırıyor. PostgreSQL'e erişimi olan yerel bir saldırgan, bu güvenlik açığını kullanarak çok uzun bir parola belirleyerek, kodunun yürütülmesini DBMS'nin çalıştığı kullanıcının haklarıyla düzenleyebilir. Ayrıca, kullanıcı saldırgan tarafından kontrol edilen bir PostgreSQL sunucusuna eriştiğinde, libpq tabanlı bir istemcinin SCRAM kimlik doğrulamasını geçmesi işlemi sırasında bu güvenlik açığından kullanıcı tarafında yararlanılabilir. Sorun PostgreSQL 10, 11 ve 12-beta dallarında ortaya çıkıyor.
Kaynak: opennet.ru