初始发布日期:2022 年 1月 13 日 13:00(太平洋标准时)
安全研究人员最近发现并报告了一处 AWS CloudFormation 中的问题。具体而言,报告的问题是 AWS CloudFormation 服务本身,此服务允许查看 AWS 内部主机上的某些本地配置文件,或从相同主机尝试发出未经身份验证的 HTTP GET 请求。研究人员利用 HTTP GET 功能,来获取特定于主机的一组本地可访问的凭证。本地配置文件或特定于主机的凭证都不允许访问任何客户数据或资源。
当报告并验证研究人员所描述的技术无法用于访问客户数据或资源后,AWS 立即采取了措施来更正此问题。全面的日志分析已验证,研究人员活动仅限于特定 AWS CloudFormation 主机。AWS 客户没有受到该报告的问题的影响,并且客户无需采取操作。
感谢 Orca Security 报告此问题。
如有安全相关问题或疑问,请通过 aws-security@amazon.com 与我们联系。