Date de la première publication : 11/04/2022 16 h 45 PST
Date de la dernière mise à jour :12/04/2022 13 h PST

Un chercheur en sécurité a récemment signalé un problème avec Aurora PostgreSQL. En exploitant cette faille, ils ont pu accéder à des informations d'identification internes qui étaient spécifiques à leur cluster Aurora. Aucun accès croisé entre clients ou entre clusters n'a été possible. Cependant, les utilisateurs de bases de données locales hautement privilégiés qui ont pu exploiter cette faille auraient potentiellement pu obtenir un accès supplémentaire aux données hébergées dans leur cluster ou lire des fichiers dans le système d'exploitation de l'hôte sous-jacent exécutant leur base de données.

Cette faille est associée à une extension PostgreSQL tierce à code source ouvert, « log_fdw », qui est préinstallée dans Amazon Aurora PostgreSQL et Amazon RDS for PostgreSQL. Elle a permis au chercheur d'examiner le contenu des fichiers du système local de l'instance de la base de données au sein de son compte, y compris un fichier qui contenait des informations d'identification spécifiques à Aurora. Les utilisateurs privilégiés et authentifiés de la base de données disposant de permissions suffisantes pour provoquer cette erreur pourraient utiliser ces informations d'identification pour obtenir un accès élevé à leurs propres ressources de base de données à partir desquelles les informations d'identification ont été récupérées. Ils ne pourraient pas utiliser les informations d'identification pour accéder aux services internes RDS ou se déplacer entre les bases de données ou les comptes AWS. Les informations d'identification ne pouvaient être utilisées que pour accéder aux ressources associées au cluster de base de données Aurora à partir duquel les informations d'identification ont été récupérées.

Lorsque ce problème a été signalé, AWS a immédiatement pris des mesures pour le corriger. Dans le cadre de nos mesures d'atténuation, nous avons mis à jour Amazon Aurora PostgreSQL et Amazon RDS for PostgreSQL pour remédier à ce problème. Nous avons également déprécié les versions mineures d'Amazon Aurora PostgreSQL et Amazon RDS for PostgreSQL énumérées ci-dessous. Par conséquent, les clients ne peuvent plus créer de nouvelles instances avec ces versions.

Les versions mineures suivantes d'Amazon Aurora PostgreSQL et Amazon RDS pour PostgreSQL ont été dépréciées :

Versions d'édition compatibles avec Amazon Aurora PostgreSQL :

  • 10.11, 10.12, 10.13
  • 11.6, 11.7, 11.8

Versions Amazon RDS for PostgreSQL :

  • 13.2, 13.1
  • 12.6, 12.5, 12.4, 12.3, 12.2
  • 11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1
  • 10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1
  • 9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1
  • 9.5, 9.4 et 9.3

Pour des notes de publication détaillées sur les versions mineures, y compris les versions supportées existantes, visitez les sites
Aurora PostgreSQL : https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
RDS PostgreSQL : https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html

Nous voulons remercier Lightspin d'avoir signalé ce problème.

Les questions ou préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com.