A 보안 자문PostgreSQL JDBC 드라이버 용으로 생성되었습니다. URL Connection String LoggerFile 속성은 드라이버가로드 된 시스템에 임의의 파일을 생성하기 위해 잘못 사용될 수 있습니다. 또한 연결 문자열의 모든 내용은 로그인 한 후 해당 파일에 기록됩니다. 불안한 시스템에서는 웹 서버를 통해이 파일을 실행할 수 있습니다.
우리는 운전자와의 보안 문제를 고려하지 않지만 다음 릴리스에서 LoggerFile 및 LoggerLevel 연결 속성을 제거하기로 결정했습니다. 이러한 속성을 제거하면 JDBC URL 또는 연결 속성을 공격자 안전에 노출시키지 않으며 응용 프로그램이 신뢰할 수없는 사용자가 임의의 연결 속성을 지정할 수 없다고 계속 제안합니다.
오용을 방지하기 위해이를 제거하고 있으며 기능을 java.util.logging에 위임 할 수 있습니다. 변경 사항은 보안 자문 뒤에 변경되었으므로 변경 사항은 그다지 유용하지 않습니다. 짧은 버전은 LoggerFile 및 LoggerLevel 속성이 여전히 존재하지만 아무것도하지 않는다는 것입니다.
토토 핫 JDBC 팀은이 릴리스에 참여한 모든 분들께 감사드립니다!
JDBC 팀