Barcha qo'llab-quvvatlanadigan PostgreSQL filiallari uchun tuzatuvchi yangilanishlar: , , , ΠΈ . Filial uchun yangilanishlarni chiqarish 9.4 2019 yil dekabrgacha, 9.5 yil yanvargacha 2021, 9.6 yil sentyabrgacha 2021, 10 yil oktabrgacha 2022, 11 yil noyabrgacha 2023.
Yangi versiyalar 25 ta xatoni tuzatadi va foydalanuvchi parolini oΚ»zgartirganda bufer toΚ»lib ketishiga olib keladigan zaiflikni (CVE-2019-10164) yoΚ»q qiladi. Ushbu zaiflikdan foydalanib, PostgreSQL-ga kirish huquqiga ega bo'lgan mahalliy tajovuzkor juda uzoq parol o'rnatish orqali o'z kodini DBMS ishlayotgan foydalanuvchi huquqlari bilan bajarilishini tashkil qilishi mumkin. Bundan tashqari, foydalanuvchi tajovuzkor tomonidan boshqariladigan PostgreSQL serveriga kirganda, SCRAM autentifikatsiyasidan o'tgan libpq-ga asoslangan mijoz jarayonida zaiflikdan foydalanuvchi tomonidan foydalanish mumkin. Muammo PostgreSQL 10, 11 va 12-beta filiallarida paydo bo'ladi.
Manba: opennet.ru