PostgreSQL於近日為受支持的各個版本發布了更新，其中包括PostgreSQL 11.4, 10.9, 9.6.14, 9.5.18, 9.4.23和12 Beta 2。此版本是在正常更新發布計劃之外進行的，主要是用於修復安全問題，這也側面反映了這些問題的嚴重性，建議各位盡快升級到對應的版本。

安全問題

此版本關閉了一個安全漏洞：

• CVE-2019-10164：通過設置密碼，基於堆棧的緩衝區溢出

受影響版本：10, 11, 12 beta

經過身份驗證的用戶可以通過將自己的密碼更改為特殊值來創建基於堆棧的緩衝區溢出。除了會導致PostgreSQL 服務器崩潰之外，還可以利用他針對PostgreSQL系統帳戶，以執行任意代碼。

此外，惡意服務器可以在SCRAM 身份驗證過程中發送特製的消息，並導致啟用libpq 的客戶端崩潰或針對客戶端的操作系統帳戶執行任意代碼。

官方建議所有運行PostgreSQL 10,11 和12 beta 的用戶盡快升級。

詳細更新請查看：

https://www.postgresql.org/about/news/1949/

下載地址：

https://www.postgresql.org/download/