0.21.0 之前的 asyncpg 允许恶意 PostgreSQL 服务器通过构建的服务器响应（在数据库客户端上）触发崩溃或执行任意代码，这是访问数组数据解码器中的未初始化指针所致。

对于 Debian 9 stretch，已在版本 0.8.4-1+deb9u1 中修复此问题。

我们建议您升级 asyncpg 程序包。

如需了解 asyncpg 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/asyncpg

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

检测

Debian DLA-2363-1：asyncpg 安全更新

critical Nessus 插件 ID 140225

版本 1.3