発行日: 2025 年 5 月 27 日 午前 11 時 30 分 PDT
説明
Amazon Redshift Python コネクタは、Redshift へのピュア Python コネクタ (ドライバー) で、Python データベース API 仕様 2.0 を実装します。
当社は、Amazon Redshift Python コネクタ (バージョン 2.0.872~2.1.6) の問題 CVE-2025-5279 を特定しました。Amazon Redshift Python コネクタが BrowserAzureOAuth2CredentialsProvider プラグインで設定されている場合、ドライバーは ID プロバイダー (IdP) の SSL 証明書検証ステップをスキップします。安全でない接続では、アクターがトークン交換プロセスを傍受し、アクセストークンを取得できる可能性があります。
この問題は、ドライバーバージョン 2.1.7 で解決されています。ユーザーは、この問題に対処するためにアップグレードし、フォークされたコードや派生コードにパッチを適用して、新しい修正が組み込まれるようにする必要があります。
影響を受けるバージョン: 2.0.872 以降、2.1.6 以前
解決方法:
Amazon Redshift Python Connector をバージョン 2.1.7 にアップグレードし、フォークされたコードや派生コードにパッチを適用して、新しい修正を組み込んでください。
参考情報:
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。