新版本修复了 25 个错误并消除了一个漏洞 (CVE-2019-10164),该漏洞在用户更改密码时可能导致缓冲区溢出。 利用此漏洞,有权访问 PostgreSQL 的本地攻击者可以通过设置很长的密码,以运行 DBMS 的用户的权限组织其代码的执行。 此外,当用户访问攻击者控制的PostgreSQL服务器时,基于libpq的客户端通过SCRAM认证的过程中,该漏洞还可以在用户侧被利用。 该问题出现在 PostgreSQL 10、11 和 12-beta 分支中。
来源: opennet.ru
新版本修复了 25 个错误并消除了一个漏洞 (CVE-2019-10164),该漏洞在用户更改密码时可能导致缓冲区溢出。 利用此漏洞,有权访问 PostgreSQL 的本地攻击者可以通过设置很长的密码,以运行 DBMS 的用户的权限组织其代码的执行。 此外,当用户访问攻击者控制的PostgreSQL服务器时,基于libpq的客户端通过SCRAM认证的过程中,该漏洞还可以在用户侧被利用。 该问题出现在 PostgreSQL 10、11 和 12-beta 分支中。
来源: opennet.ru