初始发布日期: 2022 年 4 月 11 日 16:45(太平洋标准时)
上次更新日期: 2022 年 4 月 12 日 13:00(太平洋标准时间)

一位安全研究人员最近报告了一个有关 Aurora PostgreSQL 的问题。利用此问题,他们可以获取其 Aurora 集群特定的内部凭证的访问权限。尽管不能获取跨客户或跨集群的访问权限,但具有高级权限的本地数据库用户如果能够触发此问题,就有可能获取其集群中所托管数据的额外访问权限,或者读取运行数据库的底层主机操作系统中的文件。

此问题与第三方开源 PostgreSQL 扩展“log_fdw”有关,该扩展在 Amazon Aurora PostgreSQL 和 Amazon RDS for PostgreSQL 上都已预装。借助此问题,该研究人员得以检查其账户中数据库实例的本地系统文件内容,包括一个包含 Aurora 特定凭证的文件。通过身份验证的数据库特权用户如果拥有触发此问题的充分权限,则可以利用这些凭证获取更高级别的权限,从而访问从中检索出凭证的自己的数据库资源。他们将无法利用这些凭证访问内部 RDS 服务或在数据库或 AWS 账户之间跳转。这些凭证只能用于访问与从中检索出凭证的 Aurora 数据库集群关联的资源。

收到此问题的报告后,AWS 立即采取了行动来解决此问题。为此我们更新了 Amazon Aurora PostgreSQL 和 Amazon RDS for PostgreSQL 以防止出现此问题。此外,我们还弃用了如下所列的 Amazon Aurora PostgreSQL 和 Amazon RDS for PostgreSQL 次要版本。因此,客户将不再能够创建这些版本的新实例。

下列 Amazon Aurora PostgreSQL 和 Amazon RDS for PostgreSQL 次要版本已经弃用:

Amazon Aurora PostgreSQL 兼容版版本:

  • 10.11、10.12、10.13
  • 11.6、11.7、11.8

Amazon RDS for PostgreSQL 版本:

  • 13.2、13.1
  • 12.6、12.5、12.4、12.3、12.2
  • 11.11、11.10、11.9、11.8、11.7、11.6、11.5、11.5、11.4、11.3、11.2、11.1
  • 10.16、10.15、10.14、10.13、10.12、10.11、10.10、10.9、10.7、10.6、10.5、10.4、10.3、10.1
  • 9.6.21、9.6.20、9.6.19、9.6.18、9.6.17、9.6.16、9.6.15、9.6.14、9.6.12、9.6.11、9.6.10、9.6.9、9.6.8、9.6.6、9.6.5、9.6.3、9.6.2、9.6.1
  • 9.5、9.4 和 9.3

有关次要版本(包括现有支持的版本)的详细版本注释,请访问
Aurora PostgreSQL:https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
RDS PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html

感谢 Lightspin 报告此问题。

如有安全相关问题或疑问,请通过 aws-security@amazon.com 与我们联系。