PostgreSQL プロジェクトによる報告：

認証されたユーザーは、自分のパスワードを目的に応じた値に変更することによって、スタックベースのバッファオーバーフローを引き起こす可能性があります。PostgreSQLサーバーをクラッシュできる他、これをさらに悪用してPostgreSQLオペレーティングシステムアカウント権限で任意のコードを実行する可能性があります。

さらに、不正なサーバーがSCRAM認証プロセス中に特別に細工したメッセージを送信することで、libpqを有効化しているクライアントをクラッシュさせたり、クライアントのオペレーティングシステムアカウント権限で任意のコードを実行したりする可能性があります。

この問題は、PostgreSQLサーバーおよびインストールされているlibpqをアップグレードして再起動することで修正されます。PostgreSQL 10、11、および12のベータ版を実行しているすべてのユーザーは、できるだけ早くアップグレードするよう推奨されています。

検出

FreeBSD：PostgreSQL - パスワード設定によるスタックベースのバッファオーバーフロー（245629d4-991e-11e9-82aa-6cc21735f730）

high Nessus プラグイン ID 126315

バージョン 1.3