发布日期:2025 年 5 月 27 日上午 11:30(太平洋夏令时)
说明
Amazon Redshift Python 连接器是一个纯 Python 连接器,用于实现 Python 数据库 API 规范 2.0 的 Redshift(即驱动程序)。
我们在 Amazon Redshift Python 连接器 2.0.872 至 2.1.6 版中发现了 CVE-2025-5279 问题。当使用 BrowserAzureOAuth2CredentialsProvider 插件配置 Amazon Redshift Python 连接器时,驱动程序会跳过身份提供者(IdP)的 SSL 证书验证步骤。攻击者可能会利用不安全的连接拦截令牌交换过程并检索访问令牌。
该问题已在驱动程序 2.1.7 版中得到修复。用户应升级以解决此问题,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
受影响的版本:>=2.0.872;<=2.1.6。
解决方法:
将 Amazon Redshift Python 连接器升级到 2.1.7 版,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
参考:
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。