Data inicial de publicação: 11/04/2022 16:45 PST
Data da última atualização: 12/04/2022 13:00 PST

Um pesquisador de segurança relatou recentemente um problema com o Aurora PostgreSQL. Usando esse problema, ele conseguiu obter acesso a credenciais internas específicas do seu cluster do Aurora. Embora nenhum acesso entre clientes ou clusters fosse possível, usuários do banco de dados local com privilégios altos poderiam ter se aproveitado do problema para obter acesso adicional aos dados hospedados nesse cluster ou para ler arquivos no sistema operacional do host subjacente que executa o banco de dados.

Esse problema estava associado a uma extensão PostgreSQL de código aberto de terceiros, “log_fdw”, que é pré-instalada no Amazon Aurora PostgreSQL e no Amazon RDS for PostgreSQL. O problema permitia que o pesquisador examinasse o conteúdo dos arquivos do sistema local da instância do banco de dados em sua conta, incluindo um arquivo que continha credenciais específicas do Aurora. Usuários de banco de dados autenticados e privilegiados com permissões suficientes para acionar esse problema poderiam usar essas credenciais para obter acesso elevado aos seus próprios recursos de banco de dados dos quais as credenciais foram extraídas. Eles não conseguiriam usar essas credenciais para acessar serviços internos do RDS ou para se mover entre bancos de dados ou contas da AWS. As credenciais apenas poderiam ser usadas para acessar recursos associados ao cluster do banco de dados Aurora do qual elas foram extraídas.

A AWS agiu imediatamente para resolver esse problema assim que ele foi relatado. Como parte da nossa mitigação, atualizamos o Amazon Aurora PostgreSQL e o Amazon RDS for PostgreSQL para evitar o problema. Também suspendemos as versões secundárias do Amazon Aurora PostgreSQL e do Amazon RDS for PostgreSQL listadas abaixo. Dessa forma, os clientes não poderão mais criar novas instâncias com essas versões.

As seguintes versões secundárias do Amazon Aurora PostgreSQL e do Amazon RDS for PostgreSQL foram suspensas:

Versões do Amazon Aurora, edição compatível com PostgreSQL:

  • 10.11, 10.12, 10.13
  • 11.6, 11.7, 11.8

Versões do Amazon RDS for PostgreSQL:

  • 13.2, 13.1
  • 12.6, 12.5, 12.4, 12.3, 12.2
  • 11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1
  • 10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1
  • 9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1
  • 9.5, 9.4 e 9.3

Para ler as notas de lançamento sobre versões secundárias, incluindo versões existentes compatíveis, acesse
Aurora PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
RDS PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html

Gostaríamos de agradecer à Lightspin por relatar esse problema.

Envie dúvidas ou preocupações relacionadas à segurança para aws-security@amazon.com.