Fecha de publicación inicial: 11/04/2022 16:45 h PST
Fecha de la última actualización: 12/04/2022 13.00 h PST
Un investigador de seguridad notificó recientemente un problema con Aurora PostgreSQL. Mediante este error, era capaz de obtener acceso a credenciales internas específicas de su clúster de Aurora. No se permitía el acceso entre clientes o entre clústeres; sin embargo, los usuarios de bases de datos locales con privilegios que podían poner en práctica este error podrían haber obtenido acceso adicional de manera potencial a datos alojados en sus clústeres o archivos de lectura contenidos en el sistema operativo del host subyacente que ejecuta la base de datos.
Este problema se asocia a una extensión de PostgreSQL de código abierto de un tercero, “log_fdw”, preinstalada en Amazon Aurora PostgreSQL y Amazon RDS for PostgreSQL. El problema permitió al investigador examinar los contenidos de archivos del sistema local de la instancia de base de datos de su cuenta, incluido un archivo que contenía credenciales específicas de Aurora. Los usuarios de base de datos con privilegios autenticados y suficientes permisos para desencadenar este error podían utilizar estas credenciales para obtener acceso elevado a sus propios recursos de base de datos desde la que obtenían las credenciales. Sin embargo, no podían utilizar las credenciales para acceder a servicios de RDS internos o moverse entre bases de datos o cuentas de AWS. Las credenciales solo podían utilizarse para acceder a recursos asociados con el clúster de base de datos de Aurora del que se obtenían las credenciales.
AWS actuó inmediatamente para abordar este problema en cuanto fue notificado. Como parte de la solución, hemos actualizado Amazon Aurora PostgreSQL y Amazon RDS for PostgreSQL para evitar este problema. También hemos dado de baja las versiones secundarias de Amazon Aurora y Amazon RDS for PostgreSQL que se indican a continuación. Por lo tanto, los clientes ya no pueden crear nuevas instancias con dichas versiones.
Las siguientes versiones secundarias de Amazon Aurora y Amazon RDS for PostgreSQL ahora están obsoletas:
Versiones de la edición compatible con PostgreSQL de Amazon Aurora:
- 10.11, 10.12, 10.13
- 11.6, 11.7, 11.8
Versiones de Amazon RDS for PostgreSQL:
- 13.2, 13.1
- 12.6, 12.5, 12.4, 12.3, 12.2
- 11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1
- 10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1
- 9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1
- 9.5, 9.4 y 9.3
Para notas de la versión detalladas sobre versiones secundarias, incluidas versiones compatibles existentes, visite
Aurora PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
RDS PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html
Agradecemos a Lightspin por notificar este problema.
Puede plantearnos preguntas o dudas relacionadas con la seguridad a través de aws-security@amazon.com.