发布日期:太平洋标准时间 2024 年 12 月 24 日上午 10:00
AWS 已在 Amazon Redshift JDBC 驱动程序、Amazon Redshift Python 连接器和 Amazon Redshift ODBC 驱动程序中发现以下问题。2024 年 12 月 23 日,我们发布了修复补丁,建议客户升级到最新版本以解决这些问题。
- Amazon Redshift JDBC 驱动程序 2.1.0.31 版受到 CVE-2024-12744 的影响,这是在使用 getSchemas、getTables 或 getColumns 元数据 API 时出现的 SQL 注入问题。该问题已在驱动程序 2.1.0.32 版中得到修复。我们建议客户升级到驱动程序 2.1.0.32 版或恢复到驱动程序 2.1.0.30 版。
- Amazon Redshift Python 连接器 2.1.4 版受到 CVE-2024-12745 的影响,这是在使用 get_schemas、get_tables 或 get_columns 元数据 API 时出现的 SQL 注入问题。该问题已在驱动程序 2.1.5 版中得到修复。我们建议客户升级到驱动程序 2.1.5 版或恢复到驱动程序 2.1.3 版。
- Amazon Redshift ODBC 驱动程序 v2.1.5.0 版(Windows 或 Linux)受到 CVE-2024-12746 的影响,这是在使用 SQLTables 或 SQLColumns 元数据 API 时出现的 SQL 注入问题。该问题已在驱动程序 2.1.6.0 版中得到修复。我们建议客户升级到驱动程序 2.1.6.0 版或恢复到驱动程序 2.1.4.0 版。
受影响的版本:Amazon Redshift JDBC 驱动程序 2.1.0.31 版;Amazon Redshift Python 连接器 2.1.4 版;Amazon Redshift ODBC 驱动程序 2.1.5.0 版。
解决方法:
Amazon Redshift JDBC 驱动程序的用户应升级到驱动程序 2.1.0.32 版或恢复到驱动程序 2.1.0.30 版。
建议使用 Amazon Redshift Python 连接器的用户升级到驱动程序 2.1.5 版或恢复到驱动程序 2.1.3 版。
建议使用 Amazon Redshift ODBC 驱动程序的用户升级到驱动程序 2.1.6.0 版或恢复到驱动程序 2.1.4.0 版。
参考:
- CVE-2024-12744 GitHub 安全公告
- CVE-2024-12745 GitHub 安全公告
- CVE-2024-12746 GitHub 安全公告
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。