Veröffentlichung: 27.05.2025, 11:30 Uhr PDT
Beschreibung
Der Amazon Redshift Python Connector ist ein reiner Python-Connector für Redshift (d. h. ein Treiber), der die Python Database API Specification 2.0 implementiert.
CVE-2025-5279 betrifft ein Problem mit dem Amazon Redshift Python Connector, Version 2.0.872 bis 2.1.6. Wenn der Amazon Redshift Python Connector mit dem BrowserAzureOAuth2CredentialsProvider-Plugin konfiguriert ist, überspringt der Treiber den Schritt zur SSL-Zertifikatsvalidierung für den Identitätsanbieter (IdP). Eine unsichere Verbindung könnte es Akteuren ermöglichen, den Token-Austauschprozess abzufangen und ein Zugriffstoken abzurufen.
Dieses Problem wurde in der Treiberversion 2.1.7 behoben. Benutzer sollten auf die neueste Version aktualisieren und sicherstellen, dass bei jedem geforkten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.
Betroffene Versionen: ≥ 2.0.872; ≤ 2.1.6.
Lösung:
Aktualisieren Sie den Amazon Redshift Python Connector auf Version 2.1.7 und stellen Sie sicher, dass bei jedem geforkten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.
Referenzen:
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.