社区编辑申请
注册/登录
亚马逊云科技修复了 AWS Glue 服务中的安全漏洞 译文
云计算
Amazon Web Services 修复了影响 AWS Glue 和 AWS CloudFormation 的两个缺陷。

【51CTO.com快译】Amazon Web Services 修复了影响 AWS Glue 和 AWS CloudFormation 的两个缺陷。

据 Orca Security 称,AWS Glue 中的漏洞可能允许攻击者使用该服务创建资源,并访问其他 AWS Glue 客户的数据。

Orca 研究人员表示,这是由于 AWS Glue 内部配置错误造成的,AWS 今天证实它已经修复了该问题。

Glue 于 2017 年推出,是一种托管的无服务器数据集成服务,用于连接大型数据库,允许开发人员为机器学习作业提取、转换和加载 (ETL)。

Orca 研究人员发现 Glue 功能可用于获取 AWS 服务自己账户中某个角色的凭证,从而使攻击者可以访问内部服务的应用程序编程接口 (API)。

使用这种内部错误配置的访问,攻击者可以提升帐户内的权限并获得完全的管理权限。

“我们确认我们将能够访问其他 AWS Glue 客户拥有的数据,” Orca 研究员 Yanir Tsarimi 在一篇文章中说。

AWS 在一份声明中表示,Glue 客户不需要更新系统,并强调该漏洞不会影响不使用 Glue 的 AWS 客户。

“利用 AWS Glue 功能,研究人员获得了特定于服务本身的凭证,AWS 内部的错误配置允许研究人员将这些凭证用作 AWS Glue 服务,” AWS 说。

“这不可能被用来影响不使用 AWS Glue 服务的客户。”

此外,AWS 表示,它审计 Glue 日志可追溯到2017 年推出,并确认自那时以来没有客户数据受到该漏洞的影响。

“当报告此问题时,AWS 立即采取行动纠正此问题。已经对追溯到服务启动的日志进行了分析,我们最终确定与此问题相关的唯一活动是研究人员拥有的账户之间的活动,”AWS说。

“没有其他客户的账户受到影响。AWS Glue 在客户账户中采取的所有操作都记录在 CloudTrail 记录中,客户可以控制和查看。”

Orca在 AWS中发现了第二个漏洞,该漏洞允许攻击者破坏 CloudFormation 中的服务器,让它们作为 AWS 基础设施服务运行。AWS 客户可以使用 CloudFormation 来预置和管理云资源。
该公司发现了一个 XML 外部实体注入 (XXE) 漏洞,该漏洞允许它代表服务器读取文件并执行 Web 请求。根据 Orca 的说法,攻击者可以利用该漏洞来获得“对 AWS 中任何资源的特权访问”。

据 Orca 称,AWS 也修复了这个缺陷。

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:赵立京 来源: 51CTO
相关推荐

2022-05-18 23:42:08

网络安全安全分析工具

2022-05-17 14:03:42

勒索软件远程工作

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-09 15:08:56

存储厂商NFV领域华为

2022-05-20 14:54:33

数据安全数字化转型企业

2022-05-17 15:51:32

数据中心运维能力基础设施

2022-04-21 10:01:48

VMware

2022-05-16 15:35:00

漏洞黑客

2022-05-16 08:33:54

漏洞微软安全补丁

2022-05-11 14:48:33

腾讯云寿险民生保险

2022-05-20 08:47:42

2022-05-09 11:57:39

云原生实践安全

2022-05-16 13:34:35

漏洞SonicWall攻击者

2022-04-07 13:56:17

Azure谷歌云AWS

2022-05-24 12:05:36

Testin云测试

2022-05-18 09:30:37

天翼云

2022-05-24 08:21:16

数据安全API

2022-05-20 14:08:13

Web3元宇宙区块链

2022-05-24 12:42:24

物联网

2022-04-12 09:48:22

云计算安全云服务云安全

同话题下的热门内容

运维入坑必看:Kubernetes平台架构解读云原生下一步的发展方向是什么?英伟达CTO:从云到元宇宙一起聊聊什么是云原生技术云存储架构的技术特点与三个发展方向云原生时代来临,云安全技术将何去何从?多集群Kubernetes管理和访问预计2020-2025年中国边缘计算服务器年复合增长率将达22.2%

编辑推荐

一文让你看懂IaaS、PaaS和SaaS看完小白也能懂什么是公有云、私有云、混合云陌陌基于K8s和Docker容器管理平台的架构实践科技公司创始人谈MySQL的未来AWS公布AWS媒体服务家族,专为完整视频工作流提供支持
我收藏的内容
点赞
收藏

51CTO技术栈公众号