PostgreSQL 安全相关 社区相关 社区会议 其他会议 相关开源软件 用户组 PG 每周新闻 专有软件
发布于 2022-02-17,JDBC Project
安全相关 相关开源软件
已为 PostgreSQL JDBC 驱动程序创建了一项安全公告 (https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-673j-qm5f-xpv8)。URL 连接字符串的 loggerFile 属性可能被滥用,在驱动程序加载的系统上创建任意文件。此外,连接字符串中的所有内容都会被记录并写入该文件。在不安全的系统中,攻击者可能通过 Web 服务器执行该文件。 虽然我们不认为这是驱动程序的安全问题,但我们已决定在驱动程序的下一个版本中移除 loggerFile 和 loggerLevel 连接属性。移除这些属性并不意味着向攻击者暴露 JDBC URL 或连接属性是安全的,我们仍然建议应用程序不允许不受信任的用户指定任意连接属性。 我们移除这些属性是为了防止滥用,其功能可以委托给 java.util.logging。变更日志不太有用,因为更改是在安全公告背后完成的。简而言之,loggerFile …
阅读更多...
发布于 2022-02-02,JDBC Project
安全相关 相关开源软件
已为 PostgreSQL JDBC 驱动程序创建了一项安全公告 (https://github.com/advisories/GHSA-v7wg-cpwc-24m4)。该驱动程序提供了根据通过 authenticationPluginClassName、sslhostnameverifier、socketFactory、sslfactory、sslpasswordcallback 连接属性提供的类名来实例化插件实例的功能。 然而,驱动程序在实例化类之前并未验证该类是否实现了预期的接口。 修复方案是确保类实现了预期的接口。此问题已在 42.2.25 和 42.3.2 版本中修复。此外,以下是 42.3.2 中的一些变更,完整变更日志可在此处查看 (https://jdbc.postgresql.org/documentation/changelog.html#version_42.3.2)。 变更 性能优化:在连接时读取 in_hot_standby GUC …
阅读更多...
新闻文章来自 PostgreSQL 项目或其他相关组织投稿。如果您希望分享与 PostgreSQL 相关的新闻,可以在登录后提交您自己的文章以供审核。