Fecha de publicación: 05/27/2025 11:30 h PDT
Descripción
El conector de Python de Amazon Redshift es un conector completamente desarrollado en Python para Redshift (es decir, un controlador) que implementa la especificación 2.0 de la API de base de datos de Python.
Identificamos la vulnerabilidad CVE-2025-5279 , un problema en el conector de Python de Amazon Redshift, en las versiones 2.0.872 a 2.1.6. Cuando el conector de Python de Amazon Redshift está configurado con el complemento BrowserAzureOAuth2CredentialsProvider, el controlador omite el paso de validación del certificado SSL para el proveedor de identidades (IdP). Una conexión insegura podría permitir a un actor interceptar el proceso de intercambio de tokens y obtener un token de acceso.
Este problema se solucionó en la versión 2.1.7 del controlador. Los usuarios deben actualizar a la versión más reciente y asegurarse de que se aplique el parche a cualquier código derivado o bifurcado de modo que incorpore las nuevas correcciones.
Versiones afectadas: >=2.0.872; <=2.1.6.
Resolución:
Actualice el conector de Python de Amazon Redshift a la versión 2.1.7 y asegúrese de que cualquier código derivado o bifurcado tenga el parche para incorporar las nuevas correcciones.
Referencias:
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.