問題:
早上收到郵件 ,USCERT 報告了 PostgreSQL JDBC 驅動程序的嚴重漏洞。 該漏洞允許攻擊者通過遠程執行代碼來控制易受攻擊的系統。
分析:
剛開始以為是以下2個版本授影響,后來發現是,在這2個版本將修復
· prior to 42.2.25
· prior to 42.3.2
結論:
從postgresql官網上看,目前只有JDK8 的驅動出到了42.3.2 , 而jdk6 和 jdk 7 的驅動最新的也只是42.2.24.
所以,非要避免這個漏洞,如果是用 JDK 8 建議將驅動換成42.3.2 版本 , 如果是用的jdk6 和 jdk 7 則需要等驅動 42.2.25出來或者更換到 REL9.4.1208 以前的驅動(需要測試)。
參考:
https://jdbc.postgresql.org/download.html
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-v7wg-cpwc-24m4