Date de publication : 27/05/2025, 11 h 30 (heure du Pacifique)
Description
Le connecteur Python Amazon Redshift est un connecteur Python pur vers Redshift (c’est-à-dire un pilote) qui implémente la spécification d’API de base de données Python 2.0.
Nous avons identifié le problème CVE-2025-5279 dans le connecteur Python Amazon Redshift, concernant les versions 2.0.872 à 2.1.6. Lorsque le connecteur Python Amazon Redshift est configuré avec le plug-in BrowserAzureOAuth2CredentialsProvider, le pilote ignore l’étape de validation du certificat SSL pour le fournisseur d’identité (IdP). Une connexion non sécurisée pourrait permettre à un acteur d’intercepter le processus d’échange de jetons et de récupérer un jeton d’accès.
Ce problème a été résolu dans la version 2.1.7 du pilote. Les utilisateurs doivent effectuer une mise à niveau pour résoudre ce problème et s’assurer que tout code dérivé ou bifurqué est corrigé pour incorporer les nouveaux correctifs.
Versions concernées : >=2.0.872 et <=2.1.6.
Résolution :
Mettez à niveau le connecteur Python Amazon Redshift vers la version 2.1.7 et assurez-vous que tout code dérivé ou bifurqué est corrigé pour intégrer les nouveaux correctifs.
Références :
Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.