Databricks JDBC Driver 安全漏洞CVE-2024-49194

JDBC（Java Database Connectivity） 是Java语言访问数据库的标准接口，该接口可以允许Java应用程序与各种数据库之间来进行通信。

JDBC Driver是实现JDBC API的具体驱动程序，不同的数据库厂商一般情况下提供不同的JDBC驱动程序，用于连接其特定的数据库系统。

我们在生活中常见的JDBC Driver驱动类型主要包括以下四种：JDBC-ODBC桥接器驱动、本地API驱动、网络协议驱动及本地协议驱动。

一、基本情况

JDBC中的驱动（Driver）是软件组件，充当Java程序与各种不同类型数据库之间的连接器，提供JDBC API 的抽象类供应商特定的实现。

每个驱动必须提供以下类别java.sql包实现： Connection、Statement、PreparedStatement、CallableStatement、ResultSet and Driver。

通过JDBC驱动程序，Java 开发人员可以在程序中使用标准的 SQL 语言语句来访问数据库，并且可以无需了解特定数据库的语法和功能。

栋科技漏洞库关注到Datapicks JDBC Driver驱动程序中存在一个安全漏洞，该漏洞被追踪为CVE-2024-49194，漏洞的CVSS评分为7.3。

二、漏洞分析

CVE-2024-49194是Datapicks JDBC 驱动程序中安全漏洞，可能通过 JDBC URL 参数触发 JNDI 注入，从而允许远程执行代码（RCE）。

该漏洞的源于参数处理不当krbJAASFile，该漏洞通过Datapicks错误赏金计划报告，它的严重影响等级较高，建议受影响用户尽快修复。

具体而言，攻击者可能会利用该漏洞，通过诱骗受害者使用使用该属性的特制连接 URL，在驱动程序的上下文中获得 RCE krbJAASFile。 

若本地计算机上运行受影响 JDBC 驱动程序版本，则可通过更新驱动程序来缓解该漏洞；若无法更新 JDBC 驱动程序则应更新 JVM 配置。

三、影响范围

JDBC Driver versions： ~ 2.6.38（inclusive）

四、修复建议

JDBC Driver version：2.6.40 or later version

五、参考链接

此处内容已隐藏，评论后刷新即可查看！