
As falhas representadas pelos CVE-2024-12744, CVE-2024-12745 e CVE-2024-12746 apontam para possibilidades de elevação de privilégios nas Amazon Redshift drivers e requerem, por isso, ação imediata.
Versões vulneráveis
Amazon Redshift JDBC Driver: Version 2.1.0.31
Amazon Redshift Python Connector: Version 2.1.4
Amazon Redshift ODBC Driver: Version 2.1.5.0 (Windows and Linux)
Na causa está o input do utilizador ao interagir com as API's da Redshift, sendo que estas API's devolvem informação do schema da base de dados, tabelas e colunas. Por o vetor de ataque ser o input do utilizador nas API's, trata-se de um ataque de sql injection em que o atacante pode injetar a sua própria query SQL no servidor da Redshift.
Versões corrigidas
Amazon Redshift JDBC Drive: Upgrade to version 2.1.0.32
Amazon Redshift Python Connector: Upgrade to version 2.1.5
Amazon Redshift ODBC Driver: Upgrade to version 2.1.6.0
Update oficial da Amazon: https://repost.aws/knowledge-center/redshift-jdbc-odbc-upgrade
Mais informações: https://www.ogma.in/cve-2024-12746-mitigating-sql-injection-in-amazon-redshift-odbc-driver-v2-1-5-0
Comments