Se ha creado un aviso de seguridad para el controlador JDBC de PostgreSQL. La propiedad loggerFile en la cadena de conexión de una URL podría ser utilizada indebidamente para crear un archivo arbitrario en el mismo sistema en el que ha sido cargado el controlador. Además, cualquier información contenida en la cadena de conexión sería registrada y posteriormente escrita en ese archivo. En un sistema que carezca de seguridad, sería posible ejecutar este archivo a través de un servidor web.

Aunque consideramos que no se trata de un problema de seguridad del controlador, en la próxima versión del mismo hemos decidido eliminar las propiedades de conexión loggerFile y loggerLevel. Sin embargo, la eliminación de estas propiedades no significa que sea seguro exponer la URL de JDBC o las propiedades de conexión a un atacante. Por lo tanto, seguimos sugiriendo que las aplicaciones no permitan especificar propiedades de conexión arbitrarias a usuarios no confiables.

Las estamos eliminando para evitar un posible uso indebido, y su funcionalidad puede ser delegada a java.util.logging. A este respecto, el changelog no es muy útil, ya que el cambio se realizó en el marco de un aviso de seguridad. En resumen, las propiedades loggerFile y loggerLevel siguen existiendo aunque su función es prácticamente nula.  

El equipo de PostgreSQL JDBC agradece a todos los que han participado en la realización de esta versión.

El equipo de JDBC