已为 PostgreSQL JDBC 驱动程序创建了一项安全公告 (https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-673j-qm5f-xpv8)。URL 连接字符串的 loggerFile 属性可能被滥用,在驱动程序加载的系统上创建任意文件。此外,连接字符串中的所有内容都会被记录并写入该文件。在不安全的系统中,攻击者可能通过 Web 服务器执行该文件。
虽然我们不认为这是驱动程序的安全问题,但我们已决定在驱动程序的下一个版本中移除 loggerFile 和 loggerLevel 连接属性。移除这些属性并不意味着向攻击者暴露 JDBC URL 或连接属性是安全的,我们仍然建议应用程序不允许不受信任的用户指定任意连接属性。
我们移除这些属性是为了防止滥用,其功能可以委托给 java.util.logging。变更日志不太有用,因为更改是在安全公告背后完成的。简而言之,loggerFile 和 loggerLevel 属性仍然存在但不执行任何操作。
PostgreSQL JDBC 团队感谢所有参与本次发布的贡献者!
JDBC 团队