AWS修補RDS for PostgreSQL服務檔案讀取漏洞

AWS近日修補了關聯式資料庫雲端服務RDS for PostgreSQL一項可導致Aurora資料庫內容外洩的檔案讀取漏洞。

這項漏洞是以色列安全公司Lightspin發現並通報，屬於檔案讀取漏洞，影響Amazon RDS for PostgreSQL及Amazon Aurora PostgreSQL資料庫。這項漏洞出在服務中預設安裝的第三方開源PostgreSQL擴充程式log_fdw。log_fdw可讓管理員利用SQL介面存取資料庫及建立表格，還能使log資料均分成多個欄位。

log_fdw漏洞讓攻擊者取得資料庫本機系統檔案內容，包括Aurora專屬內部帳號存取憑證。若攻擊者為經驗證的資料庫使用者，且有足夠權限，則可藉此憑證升高其使用者權限，存取到機密的資料庫內容。

AWS 強調，這些憑證只能用於存取帳號相關的Aurora資料庫叢集，但無法用來存取內部RDS服務、或在不同資料庫或AWS帳號之間移動。

AWS RDS團隊已個別通知有問題版本的服務用戶。不過AWS表示沒有客戶真正受到影響。

這個漏洞影響9.6.2版本以上的Amazon RDS for PostgreSQL及Amazon Aurora PostgreSQL資料庫。不過有多個舊版本已不受支援，包括Amazon Aurora PostgreSQL 10.11-10.13及11.6-11.8，以及Amazon RDS for PostgreSQL 13（13.2、13.1）、12（12.6-12.2）、11（11.11-11.1）、10（10.6-10.1）、9（9.6.21-9.3），AWS團隊也呼籲用戶應升級到支援的版本。