关于 PG CVE-2022-21724 漏洞处理

问题：

    早上收到邮件 ，USCERT 报告了 PostgreSQL JDBC 驱动程序的严重漏洞。 该漏洞允许攻击者通过远程执行代码来控制易受攻击的系统。  

分析：

刚开始以为是以下2个版本授影响，后来发现是，在这2个版本将修复 

·         prior to 42.2.25

·         prior to 42.3.2

结论：

从postgresql官网上看，目前只有JDK8 的驱动出到了42.3.2   , 而jdk6 和 jdk 7 的驱动最新的也只是42.2.24.  

所以，非要避免这个漏洞，如果是用 JDK 8 建议将驱动换成42.3.2 版本 ， 如果是用的jdk6 和 jdk 7 则需要等驱动 42.2.25出来或者更换到 REL9.4.1208 以前的驱动（需要测试）。  

参考： 

https://jdbc.postgresql.org/download.html 

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-v7wg-cpwc-24m4 

        

来自为知笔记(Wiz)