Date de publication initiale : 13/01/2022 13 : 00 PST (heure du Pacifique)
Un chercheur en sécurité a récemment signalé un problème qui lui permettait d'effectuer des actions en tant que service AWS Glue. En utilisant une fonction d'AWS Glue, les chercheurs ont obtenu les informations d'identification spécifiques au service lui-même, et une mauvaise configuration interne à AWS leur a permis d'utiliser ces informations d'identification en tant que service AWS Glue. Il est impossible que cela ait pu être utilisé pour nuire aux clients qui n'utilisent pas le service AWS Glue.
Aucune action n'est nécessaire de la part du client.
Lorsque ce problème a été signalé, AWS a immédiatement agi afin de le corriger. Une analyse des journaux remontant au lancement du service a été effectuée et nous avons déterminé de manière concluante que la seule activité associée à ce problème concernait les comptes appartenant au chercheur. Aucun autre compte de client n'a été touché. Toutes les actions effectuées par AWS Glue sur le compte d'un client sont enregistrées dans les registres CloudTrail contrôlés et consultables par les clients.
Nous tenons à remercier Orca Security pour le signalement de ce problème.
Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com.