發布日期:2025 年 5 月 27 日上午 11:30 (太平洋夏令時間)
描述
Amazon Redshift Python 連接器是連接至 Redshift (即驅動程式) 的純 Python 連接器,可建置 Python 資料庫 API 規格 2.0。
我們發現了在 Amazon Redshift Python 連接器版本 2.0.872 至 2.1.6 中的問題—CVE-2025-5279。使用 BrowserAzureOAuth2CredentialsProvider 外掛程式設定 Amazon Redshift Python 連接器時,驅動程式會跳過針對身分提供者 (IdP) 的 SSL 憑證驗證步驟。不安全的連線可能會讓參與者能夠攔截權杖交換程序並擷取存取權杖。
此問題在驅動程式 2.1.7 版中已獲解決。使用者應升級以解決此問題,同時確保對任何分叉或衍生程式碼進行修補,以包含新的修正。
受影響的版本:2.0.872 及之後版本,2.1.6 及之前版本。
解決方案:
將 Amazon Redshift Python 連接器升級至 2.1.7 版,同時確保對任何分叉或衍生程式碼進行修補,以包含新的修正。
參考資料:
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。