A 보안 권고5161_5534
우리는 이것이 드라이버의 보안 문제라고 생각하지 않지만 드라이버의 다음 릴리스에서 loggerFile 및 loggerLevel 연결 속성을 제거하기로 결정했습니다. 이러한 속성을 제거해도 JDBC URL 또는 연결 속성이 공격자에게 안전하게 노출되지는 않으며 신뢰할 수 없는 사용자가 애플리케이션에서 임의의 연결 속성을 지정하는 것을 허용하지 않을 것을 계속 제안하고 있습니다.
우리는 오용을 방지하기 위해 이를 제거하고 있으며 해당 기능은 java.util.logging에 위임될 수 있습니다. 보안 권고 뒤에 변경이 이루어졌기 때문에 변경 로그는 별로 유용하지 않습니다. 짧은 버전은 loggerFile 및 loggerLevel 속성이 여전히 존재하지만 아무 작업도 수행하지 않는다는 것입니다.
토토 핫 JDBC 팀은 이번 릴리스에 참여한 모든 분들께 감사의 말씀을 전하고 싶습니다!
JDBC 팀