RedShift JDBC 驱动程序、Python 连接器和 ODBC 驱动程序的问题 –（CVE-2024-12744、CVE-2024-12745、CVE-2024-12746）

范围：AWS
内容类型：重要提示（需要注意）
发布日期：太平洋标准时间 2024/12/24 上午 10:00

AWS 已在 Amazon Redshift JDBC 驱动程序、Amazon Redshift Python 连接器和 Amazon Redshift ODBC 驱动程序中发现以下问题。2024 年 12 月 23 日，我们发布了修复补丁，建议客户升级到最新版本以解决这些问题。

Amazon Redshift JDBC 驱动程序版本 2.1.0.31 受到 CVE-2024-12744 的影响，这是使用 GetSchemas、getTables 或 GetColumns 元数据 API 时出现的 SQL 注入问题。该问题已在驱动程序 2.1.0.32 版中得到修复。我们建议客户升级到驱动程序 2.1.0.32 版或恢复到驱动程序 2.1.0.30 版。
亚马逊 Redshift Python Connector 版本 2.1.4 受到 CVE-2024-12745 的影响，这是使用 get_schemas、get_tables 或 get_columns 元数据 API 时出现的 SQL 注入问题。该问题已在驱动程序 2.1.5 版中得到修复。我们建议客户升级到驱动程序 2.1.5 版或恢复到驱动程序 2.1.3 版。
Amazon Redshift ODBC 驱动程序版本 v2.1.5.0（Windows 或 Linux）受到 CVE-2024-12746 的影响，这是使用 SQLTables 或 SQLColumns 元数据 API 时出现的 SQL 注入问题。该问题已在驱动程序 2.1.6.0 版中得到修复。我们建议客户升级到驱动程序 2.1.6.0 版或恢复到驱动程序 2.1.4.0 版。

受影响的版本：亚马逊 Redshift JDBC 驱动程序，版本 2.1.0.31；亚马逊 Redshift Python Connector，版本 2.1.4；亚马逊 Redshift ODBC 驱动程序，版本 v2.1.5.0。

分辨率：
Amazon Redshift JDBC 驱动程序的用户应升级到驱动程序 2.1.0.32 版或恢复到驱动程序 2.1.0.30 版。

建议使用 Amazon Redshift Python 连接器的用户升级到驱动程序 2.1.5 版或恢复到驱动程序 2.1.3 版。

建议使用 Amazon Redshift ODBC 驱动程序的用户升级到驱动程序 2.1.6.0 版或恢复到驱动程序 2.1.4.0 版。

参考：

了解