Erstes Veröffentlichungsdatum: 11.04.2022 16:45 PST
Datum der letzten Aktualisierung: 12.04.2022 13:00 PST

Ein Sicherheitsforscher hat kürzlich ein Problem mit Aurora PostgreSQL gemeldet. Über diese Schwachstelle konnte er sich Zugang zu internen Anmeldeinformationen verschaffen, die speziell für seinen Aurora-Cluster bestimmt waren. Es war kein kunden- oder clusterübergreifender Zugriff möglich. Allerdings hätten hochprivilegierte lokale Datenbankbenutzer, die dieses Problem ausnutzen konnten, möglicherweise zusätzlichen Zugriff auf die in ihrem Cluster gehosteten Daten oder das Lesen von Dateien innerhalb des Betriebssystems des zugrunde liegenden Hosts, auf dem ihre Datenbank läuft, erhalten können.

Dieses Problem stand im Zusammenhang mit der Open-Source-PostgreSQL-Erweiterung „log_fdw“ eines Drittanbieters, die sowohl in Amazon Aurora PostgreSQL als auch in Amazon RDS for PostgreSQL vorinstalliert ist. Das Problem ermöglichte es dem Forscher, den Inhalt lokaler Systemdateien der Datenbank-Instance innerhalb seines Kontos zu untersuchen, einschließlich einer Datei, die Aurora-spezifische Anmeldeinformationen enthielt. Privilegierte, authentifizierte Datenbankbenutzer mit ausreichenden Berechtigungen, um dieses Problem auszulösen, könnten diese Anmeldeinformationen verwenden, um erweiterten Zugriff auf ihre eigenen Datenbankressourcen zu erhalten, von denen die Anmeldeinformationen abgerufen wurden. Sie könnten die Anmeldeinformationen nicht verwenden, um auf interne RDS-Services zuzugreifen oder zwischen Datenbanken oder AWS-Konten zu wechseln. Die Anmeldeinformationen konnten nur für den Zugriff auf Ressourcen verwendet werden, die mit dem Aurora-Datenbankcluster verbunden sind, von dem die Anmeldeinformationen abgerufen wurden.

AWS hat sofort Abhilfemaßnahmen ergriffen, sobald das Problem gemeldet wurde. Als Teil dieser Abhilfemaßnahmen haben wir Amazon Aurora PostgreSQL und Amazon RDS for PostgreSQL aktualisiert, um dieses Problem zu verhindern. Wir haben auch die unten aufgeführten Nebenversionen von Amazon Aurora PostgreSQL und Amazon RDS for PostgreSQL eingestellt. Daher können Kunden mit diesen Versionen keine neuen Instances mehr erstellen.

Die folgenden Nebenversionen von Amazon Aurora PostgreSQL und Amazon RDS for PostgreSQL wurden eingestellt:

Versionen der mit Amazon Aurora PostgreSQL-kompatiblen Edition:

  • 10.11, 10.12, 10.13
  • 11.6, 11.7, 11.8

Versionen von Amazon RDS for PostgreSQL:

  • 13.2, 13.1
  • 12.6, 12.5, 12.4, 12.3, 12.2
  • 11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1
  • 10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1
  • 9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1
  • 9.5, 9.4 und 9.3

Detaillierte Versionshinweise zu den Nebenversionen, einschließlich der bereits unterstützten Versionen, finden Sie hier:
Aurora PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
RDS PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html

Wir möchten uns bei Lightspin für die Meldung dieses Problems bedanken.

Bei Fragen zur Sicherheit oder diesbezüglichen Bedenken schreiben Sie uns an: aws-security@amazon.com.