问题:
早上收到邮件 ,USCERT 报告了 PostgreSQL JDBC 驱动程序的严重漏洞。 该漏洞允许攻击者通过远程执行代码来控制易受攻击的系统。
分析:
刚开始以为是以下2个版本授影响,后来发现是,在这2个版本将修复
· prior to 42.2.25
· prior to 42.3.2
结论:
从postgresql官网上看,目前只有JDK8 的驱动出到了42.3.2 , 而jdk6 和 jdk 7 的驱动最新的也只是42.2.24.
所以,非要避免这个漏洞,如果是用 JDK 8 建议将驱动换成42.3.2 版本 , 如果是用的jdk6 和 jdk 7 则需要等驱动 42.2.25出来或者更换到 REL9.4.1208 以前的驱动(需要测试)。
参考:
https://jdbc.postgresql.org/download.html
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-v7wg-cpwc-24m4