所有受支持的 PostgreSQL 分支的修正更新: , , , и 。 发布分支 9.4 更新 至2019年9.5月、2021至9.6年2021月、10至2022年11月、2023至XNUMX年XNUMX月、XNUMX至XNUMX年XNUMX月。
新版本修复了 25 个错误并消除了一个漏洞 (CVE-2019-10164),该漏洞在用户更改密码时可能导致缓冲区溢出。 利用此漏洞,有权访问 PostgreSQL 的本地攻击者可以通过设置很长的密码,以运行 DBMS 的用户的权限组织其代码的执行。 此外,当用户访问攻击者控制的PostgreSQL服务器时,基于libpq的客户端通过SCRAM认证的过程中,该漏洞还可以在用户侧被利用。 该问题出现在 PostgreSQL 10、11 和 12-beta 分支中。
来源: opennet.ru