게시일: 2025년 5월 27일 오전 11시 30분(PDT)
설명
Amazon Redshift Python 커넥터는 Python Database API 사양 2.0을 구현하는 Redshift(드라이버 등)에 대한 순수 Python 커넥터입니다.
Amazon Redshift Python 커넥터 버전 2.0.872부터 버전 2.1.6에서 CVE-2025-5279 문제가 확인되었습니다. Amazon Redshift Python 커넥터가 BrowserAzureOAuth2CredentialsProvider 플러그인으로 구성된 경우, 드라이버는 ID 제공업체(IdP)의 SSL 인증서 검증 단계를 생략할 수 있습니다. 연결이 안전하지 않으면 행위자가 토큰 교환 프로세스를 가로채어 액세스 토큰을 검색할 수 있습니다.
이 문제는 드라이버 버전 2.1.7에서 해결되었습니다. 문제 해결을 위해 업그레이드하여 포크 코드 또는 파생 코드가 새로운 수정 사항에 적용되도록 패치되었는지 확인하세요.
영향을 받는 버전: 2.0.872 및 2.1.6 이전 버전
해결 방법:
Amazon Redshift Python 커넥터를 버전 2.1.7로 업그레이드하고 모든 포크 코드 또는 파생 코드가 새로운 수정 사항에 적용되도록 패치되었는지 확인하세요.
참고 사항:
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.