PostgreSQL JDBC 驱动程序已发布一个 安全公告。URL 连接字符串中的 loggerFile 属性可能被滥用,从而在驱动程序加载的系统上创建任意文件。此外,连接字符串中的任何内容都会被记录并随后写入该文件。在一个不安全的系统中,可以通过 Web 服务器执行此文件。
虽然我们不认为这是一个驱动程序安全问题,但我们已决定在下一版驱动程序中移除 loggerFile 和 loggerLevel 连接属性。移除这些属性并不能使 JDBC URL 或连接属性对攻击者来说是安全的,我们继续建议应用程序不要允许不受信任的用户指定任意连接属性。
我们移除它们是为了防止滥用,并且它们的功能可以委托给 java.util.logging。由于此更改是在安全公告之后进行的,因此更改日志并没有多大用处。简而言之,loggerFile 和 loggerLevel 属性仍然存在,但不起任何作用。
PostgreSQL JDBC 团队感谢所有参与此次发布的人!
JDBC 团队