PostgreSQL 專案報告：經驗證的使用者可將其密碼變更為特定值，建立一個堆疊型緩衝區溢位。除了有能力使 PostgreSQL 伺服器當機，這可能會進一步遭惡意利用將任意程式碼作為 PostgreSQL 作業系統帳戶執行。此外，惡意伺服器可在 SCRAM 驗證程序期間傳送特製訊息，並造成啟用 libpq 用戶端當機或將任意程式碼作為用戶端作業系統帳戶執行。此問題透過升級和重新啟動 PostgreSQL 伺服器以及 libpq 安裝已完成修正。鼓勵所有執行 PostgreSQL 10、11 和 12 beta 的使用者盡快升級。

偵測

FreeBSD：PostgreSQL -- 透過設定密碼形成堆疊型緩衝區溢位 (245629d4-991e-11e9-82aa-6cc21735f730)

high Nessus Plugin ID 126315

版本 1.3