已解决一个潜在的安全问题(CVE-2018-10936)。如果在未提供主机名验证器的情况下,理论上可能提供一个 SSL Factory 并跳过主机名检查。在调查此问题的过程中,我们进行了一些更改。
ssl=true 现在意味着 verify-full。这与 libpq 的默认行为(不进行验证或检查)有所不同。使用 ssl=true 或 verify-full 时,驱动程序将验证 SSL 证书,并确保主机与证书中指定的主机相匹配。
该驱动程序现在还支持 allow 和 prefer,详情请参阅 https://jdbc.postgresql.ac.cn/documentation/head/ssl-client.html。