Data di pubblicazione iniziale: 11/04/2022 16:45 PST
Data ultimo aggiornamento: 12/04/2022 13:00 PST
Un ricercatore nel campo della sicurezza ha segnalato recentemente un problema relativo ad Aurora PostgreSQL. Utilizzando questo errore, è stato in grado di accedere alle credenziali interne specifiche per il cluster di Aurora. Non è stato possibile nessun accesso tra clienti e tra cluster; tuttavia, gli utenti del database locale con privilegi elevati che potevano sfruttare questa falla potrebbero aver ottenuto un accesso aggiuntivo ai dati ospitati nel cluster o aver letto i file all'interno del sistema operativo dell'host sottostante che esegue il database.
Questo problema è stato associato a un'estensione open source di terze parti di PostgreSQL, "log_fdw", che è preinstallata sia in Amazon Aurora PostgreSQL che in Amazon RDS for PostgreSQL. Il problema ha consentito al ricercatore di esaminare i contenuti dei file del sistema locale dell'istanza del database all'interno dell'account, compreso un file che conteneva le credenziali specifiche per Aurora. Gli utenti del database autenticati, con privilegi e in possesso delle autorizzazioni necessarie per attivare il problema potevano utilizzare queste credenziali per ottenere un accesso elevato alle proprie risorse del database dalle quali sono state recuperate le credenziali. Non sarebbero stati in grado di utilizzare le credenziali per accedere ai servizi interni di RDS o spostarsi tra i database e gli account AWS. Le credenziali potevano essere utilizzate solo per accedere alle risorse associate al cluster del database di Aurora dalle quali sono state recuperate le credenziali.
AWS ha immediatamente preso le misure necessarie per risolvere questo problema non appena è stato segnalato. Come parte della nostra mitigazione, abbiamo aggiornato Amazon Aurora PostgreSQL e Amazon RDS for PostgreSQL per prevenire questo problema. Abbiamo anche reso obsolete le versioni secondarie di Amazon Aurora PostgreSQL e di Amazon RDS for PostgreSQL elencate di seguito. I clienti non possono più creare nuove istanze con queste versioni In quanto obsolete.
Le seguenti versioni secondarie di Amazon Aurora PostgreSQL e di Amazon RDS for PostgreSQL sono state rese obsolete:
Versioni dell'edizione di Amazon Aurora compatibile con PostgreSQL:
- 10.11, 10.12, 10.13
- 11.6, 11.7, 11.8
Versioni di Amazon RDS for PostgreSQL:
- 13.2, 13.1
- 12.6, 12.5, 12.4, 12.3, 12.2
- 11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1
- 10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1
- 9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1
- 9.5, 9.4 e 9.3
Per le note di rilascio dettagliate sulle versioni secondarie, comprese quelle esistenti supportate, visita
Aurora PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
RDS PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html
Vorremmo ringraziare Lightspin per aver segnalato questo problema.
È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.