初始發布日期:2022/01/13 13:00 PST
安全研究人員最近報告了一個問題,讓他們能以 AWS Glue 服務執行動作。利用 AWS Glue 功能,研究人員取得特定於服務本身的憑證,而 AWS 內部的錯誤組態讓研究人員得以將這些憑證用作 AWS Glue 服務。此問題不可能用來影響未使用 AWS Glue 服務的客戶。
客戶不需採取任何動作。
AWS 在收到此問題的報告後立即採取動作糾正問題。我們對追溯到服務啟動的日誌進行了分析,最終確定與此問題相關的唯一活動是研究人員所擁有帳戶之間的活動。 其他客戶的帳戶均未受到影響。AWS Glue 在客戶帳戶中執行的所有動作都記錄在由客戶控制和檢視的 CloudTrail 記錄中。
我們非常感謝 Orca Security 報告此問題。
有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。