AWS近日修補了關聯式資料庫雲端服務RDS for PostgreSQL一項可導致Aurora資料庫內容外洩的檔案讀取漏洞。

這項漏洞是以色列安全公司Lightspin發現並通報,屬於檔案讀取漏洞,影響Amazon RDS for PostgreSQL及Amazon Aurora PostgreSQL資料庫。這項漏洞出在服務中預設安裝的第三方開源PostgreSQL擴充程式log_fdw。log_fdw可讓管理員利用SQL介面存取資料庫及建立表格,還能使log資料均分成多個欄位。

log_fdw漏洞讓攻擊者取得資料庫本機系統檔案內容,包括Aurora專屬內部帳號存取憑證。若攻擊者為經驗證的資料庫使用者,且有足夠權限,則可藉此憑證升高其使用者權限,存取到機密的資料庫內容。

AWS 強調,這些憑證只能用於存取帳號相關的Aurora資料庫叢集,但無法用來存取內部RDS服務、或在不同資料庫或AWS帳號之間移動。

AWS RDS團隊已個別通知有問題版本的服務用戶。不過AWS表示沒有客戶真正受到影響。

這個漏洞影響9.6.2版本以上的Amazon RDS for PostgreSQL及Amazon Aurora PostgreSQL資料庫。不過有多個舊版本已不受支援,包括Amazon Aurora PostgreSQL 10.11-10.13及11.6-11.8,以及Amazon RDS for PostgreSQL 13(13.2、13.1)、12(12.6-12.2)、11(11.11-11.1)、10(10.6-10.1)、9(9.6.21-9.3),AWS團隊也呼籲用戶應升級到支援的版本。


熱門新聞

Advertisement