从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:2024-8-14 Snowflake JDBC Security Advisory 2. 发布者:sfc-gh-ppandit 3. 发布时间:4天前 4. 受影响的版本范围: - 受影响的版本:>= 3.2.6 & <= 3.19.1 - 已修复的版本:3.20.0 或更高版本 5. 漏洞描述: - 受影响的产品:Snowflake JDBC driver - 漏洞类型:Incorrect Security Setting Vulnerability - 漏洞影响:数据在上传到加密阶段时没有额外的客户端加密保护层。 6. 漏洞影响范围: - 受影响的环境:仅影响 Azure 和 GCP 部署(AWS 部署不受影响) - 漏洞触发条件:在使用 JDBC 驱动程序时,将 CLIENT_ENCRYPTION_KEY_SIZE 参数设置为 256 位,而不是默认的 128 位。 7. 漏洞影响: - 数据保护:数据仍然受到 TLS 在线和服务器端加密的保护,但额外的客户端加密保护层不可见。 8. 漏洞严重性: - CVSSv3 基础分数:5.9 - 漏洞类型:Network - 攻击向量:Network - 攻击复杂性:High - 权限要求:High - 用户交互:None - 影响范围:Unchanged - 敏感性:High - 可用性:None 9. 漏洞编号:CVE-2024-43382 10. 漏洞弱点:无 CWEs 11. 修复措施: - 发现时间:2024年7月23日 - 修复时间:2024年10月28日 - 修复版本:3.20.0 或更高版本 12. 建议: - 建议:强烈建议用户尽快升级到 3.20.0 或更高版本。 13. 联系方式: - 报告漏洞:通过 HackerOne 报告漏洞。 - 更多信息:参见漏洞披露政策。 这些信息可以帮助用户了解漏洞的详细情况、受影响的范围和修复措施,以便采取相应的安全措施。