Data de publicação: 27/05/2025 11:30 PDT
Descrição
O Amazon Redshift Python Connector é um conector puro Python para o Redshift (ou seja, um driver) que implementa a Especificação da API de banco de dados Python 2.0.
Identificamos o CVE-2025-5279 como um problema no Amazon Redshift Python Connector, versão 2.0.872 a 2.1.6. Quando o Amazon Redshift Python Connector é configurado com o plug-in BrowserAzureOAuth2CredentialsProvider, o driver ignora a etapa de validação do certificado SSL para o provedor de identidades (IdP). Uma conexão não segura pode permitir que um invasor intercepte o processo de intercâmbio de tokens e recupere um token de acesso.
Este problema foi resolvido na versão 2.1.7 do driver. Os usuários devem fazer a atualização para resolver esse problema e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Versão afetada: >=2.0.872;<=2.1.6.
Resolução:
Atualize o Amazon Redshift Python Connector para a versão 2.1.7 e certifique-se de que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Referências:
Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.