Дата первой публикации: 13.01.2022, 13:00 по тихоокеанскому времени
Недавно исследователь систем безопасности сообщил о проблеме, которая позволяла ему выполнять действия в качестве службы AWS Glue. Используя возможности AWS Glue, исследователи получили учетные данные для самой службы, а внутренняя ошибка в конфигурации AWS позволила исследователям использовать эти учетные данные в качестве службы AWS Glue. Это никак не могло быть использовано для оказания влияния на клиентов, которые не пользуются сервисом AWS Glue.
От пользователей не требуется никаких действий.
AWS устранила эту проблему, как только о ней стало известно. Был проведен анализ журналов, начиная с момента запуска сервиса, и мы убедились, что единственная активность, связанная с этой проблемой, происходила между аккаунтами, принадлежащими исследователю. Никакие аккаунты других клиентов не пострадали. Все действия, выполняемые AWS Glue в аккаунте клиента, регистрируются в записях CloudTrail, контролируемых и просматриваемых клиентами.
Мы хотели бы поблагодарить компанию Orca Security за сообщение об этой проблеме.
Если возникнут вопросы или опасения, касающиеся безопасности, сообщите о них, написав по адресу aws-security@amazon.com.