初版発行日: 2022 年 4 月 11 日 16 時 45 分 (PST)
最終更新日: 2022 年 4 月 12 日 13 時 (PST)
最近、セキュリティ分野の研究者により、Aurora PostgreSQL の問題が報告されました。この問題により、使用している Aurora クラスターに固有の内部的な認証情報にアクセスすることが可能でした。カスタマーまたはクラスターをまたぐアクセスは不可能でしたが、広範な特権が付与されており、かつ、この問題におけるアクセスが可能となっていたローカルデータベースユーザーは、クラスターでホストされているデータへの追加的なアクセス権を有していた可能性があり、またはデータベースを実行している基盤となるホストのオペレーティングシステム内にあるファイルを読み取ることができた可能性があります。
この問題は、Amazon Aurora PostgreSQL と Amazon RDS for PostgreSQL の両方にプリインストールされている「log_fdw」に関連するものでした。これは、サードパーティーのオープンソースの PostgreSQL 拡張機能です。この問題により、該当の研究者は、アカウント内のデータベースインスタンスのローカルシステムファイル (Aurora に固有の認証情報を含むファイルなど) の内容を知ることができるようになっていました。特権が付与されており、かつ、この問題をトリガーするための十分な許可を持つ認証済みデータベースユーザーは、これらの認証情報を使用して、認証情報の取得元である独自のデータベースリソースへの昇格されたアクセス権を取得することができるようになっていました。内部の RDS サービスへのアクセス、あるいはデータベースや AWS アカウント間の移動のために、認証情報を使用することは不可能でした。認証情報は、認証情報の取得元である Aurora データベースクラスターに関連付けられたリソースにアクセスするためにのみ、使用することができるようになっていました。
AWS では、報告を受けた時点で直ちに、この問題の対応に乗り出しました。対応の一環として、この問題が発生しないように、Amazon Aurora PostgreSQL および Amazon RDS for PostgreSQL を更新しました。また、以下にリストされている Amazon Aurora PostgreSQL および Amazon RDS for PostgreSQL のマイナーバージョンを非推奨としました。そのため、お客様は、これらのバージョンで新しいインスタンスを作成できなくなります。
Amazon Aurora PostgreSQL および Amazon RDS for PostgreSQL の次のマイナーバージョンは非推奨となりました。
Amazon Aurora PostgreSQL 互換エディションのバージョン:
- 10.11、10.12、10.13
- 11.6、11.7、11.8
Amazon RDS for PostgreSQL のバージョン:
- 13.2、13.1
- 12.6、12.5、12.4、12.3、12.2
- 11.11、11.10、11.9、11.8、11.7、11.6、11.5、11.5、11.4、11.3、11.2、11.1
- 10.16、10.15、10.14、10.13、10.12、10.11、10.10、10.9、10.7、10.6、10.5、10.4、10.3、10.1
- 9.6.21、9.6.20、9.6.19、9.6.18、9.6.17、9.6.16、9.6.15、9.6.14、9.6.12、9.6.11、9.6.10、9.6.9、9.6.8、9.6.6、9.6.5、9.6.3、9.6.2、9.6.1
- 9.5、9.4、9.3
マイナーバージョンの詳細なリリースノート (サポートされている既存のバージョンを含む) については、次のウェブサイトをご覧ください。
Aurora PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
RDS PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html
この問題をご報告いただいた Lightspin に感謝いたします。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。