Amazon Web Services、AWS Glue サービスのセキュリティ脆弱性を修正

Amazon Web Services、AWS Glue サービスのセキュリティ脆弱性を修正

[51CTO.com クイック翻訳] Amazon Web Services は、AWS Glue と AWS CloudFormation に影響する 2 つの欠陥を修正しました。

Orca Security によると、AWS Glue の脆弱性により、攻撃者がサービスを使用してリソースを作成し、他の AWS Glue 顧客のデータにアクセスできるようになる可能性があるとのことです。

Orca の研究者は、これは AWS Glue の内部構成エラーによるものだと述べ、AWS は本日、この問題を修正したことを確認した。

2017 年に開始された Glue は、大規模なデータベースに接続し、開発者が機械学習ジョブのために抽出、変換、ロード (ETL) を実行できるようにする、管理されたサーバーレス データ統合サービスです。

Orca の研究者は、Glue 機能を使用して AWS サービスの独自のアカウントのロールの認証情報を取得し、攻撃者が内部サービスのアプリケーション プログラミング インターフェイス (API) にアクセスできるようになる可能性があることを発見しました。

この内部の誤って構成されたアクセスを使用すると、攻撃者はアカウント内の権限を昇格し、完全な管理者権限を取得する可能性があります。

「AWS Glueの他の顧客が所有するデータにアクセスできるようになることを確認しました」とOrcaの研究員Yanir Tsarimi氏は投稿で述べた。

AWSは声明で、Glueの顧客はシステムを更新する必要はないとし、この脆弱性はGlueを使用していないAWSの顧客に影響を与えないことを強調した。

「研究者らはAWS Glueの機能を悪用し、サービス自体に固有の認証情報を入手したが、AWS内の誤った設定により、研究者らはそれらの認証情報をAWS Glueサービスとして使用できた」とAWSは述べた。

「これは、AWS Glue サービスを使用していない顧客に影響を与えるために使用することはできませんでした。」

さらにAWSは、2017年のリリースまで遡ってGlueのログを監査し、それ以降の顧客データは脆弱性の影響を受けていないことを確認したと述べた。

「この問題が報告されたとき、AWSは問題を修正するために直ちに行動を起こした。サービス開始までさかのぼるログを分析した結果、この問題に関連する唯一のアクティビティは研究者が所有するアカウント間であったことが最終的に判明した」とAWSは述べた。

「他の顧客アカウントには影響はありませんでした。AWS Glue が顧客アカウントで実行したすべてのアクションは CloudTrail レコードに記録され、顧客が制御および確認できます。」

Orca は、AWS の 2 番目の脆弱性を発見しました。この脆弱性により、攻撃者は CloudFormation 内のサーバーを侵害して、AWS インフラストラクチャ サービスとして実行できるようになります。 AWS のお客様は、CloudFormation を使用してクラウド リソースをプロビジョニングおよび管理できます。
同社は、ファイルを読み取り、サーバーに代わって Web リクエストを実行できる XML 外部エンティティ インジェクション (XXE) の脆弱性を発見しました。 Orca によれば、攻撃者はこの脆弱性を悪用して「AWS 内のあらゆるリソースへの特権アクセス」を取得する可能性があるという。

Orca によると、AWS もこの欠陥を修正したとのことです。

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  マイクロソフトはハイブリッド クラウドのイノベーション機能を活用して、業界の顧客が「クラウドを活用」できるようにしています。

>>:  JMeter 分散ストレステストの展開について話す

推薦する

映画サイトをリンクして広告提携をまとめ200万元稼ぐ、いとこらが著作権侵害の疑いで逮捕

□モーニングポスト記者 呉俊、特派員 王敏義映画のウェブサイトを立ち上げるのにかかった時間はわずか数...

VMwareの将来はまだ予測不可​​能

Salesforce や Amazon などの新興クラウド コンピューティング ベンダーの成果が話題...

Hotnet: 日本 + 香港 CN2 GIA VPS が 70% オフ、日本 (CN2 + BGP) サーバーが 75% オフ、すべてのリチャージと追加割引が 20% オフ

hotiis(ホットネット相互接続)は以前にも紹介しましたが、中国の老舗企業(支店数社)で、資格もす...

データ重力がクラウドコンピューティングの導入にどのように影響し、役立つか

データセンター内のデータは安全ですが、AWS などのクラウド コンピューティング プロバイダーはセキ...

起業家にとって投資家を笑わせるのは難しい。プロジェクトの90%は5分以内に議論される。

「あなた方はエンジェル投資家なのに、どうしてそんなに選り好みできるのか?」と、ある起業家は中国で最も...

ウェブ編集者のリスニング、スピーキング、リーディング、ライティングのスキルを向上させる方法

オンラインメディアのほとんどの管理者は、この問題に悩まされています。編集者のリスニング、スピーキング...

十分な利益を上げなくても企業は株式を公開できますか? 58とQunarの資金調達の道筋について

Qunarや58.comを含む一部の企業にとって、株式公開は明らかに投資を求め、発展を続けるための重...

ハイブリッドマルチクラウドとハイパーコンバージドインフラストラクチャの人気が高まる

ハイパーコンバージド インフラストラクチャ (HCI) が、組織が簡単に拡張してデータをより細かく制...

標準インターネット:ロサンゼルス50G高セキュリティVPS、最低209元/年、Windows付き

スタンダードインターコネクトは、米国西海岸のロサンゼルスデータセンターに50Gの高防御VPSを立ち上...

超低価格をお見逃しなく、天一雲の年中プロモーションがここにあります

現在、デジタル変革はあらゆる分野において避けられない選択となっており、多くの企業がビジネスの回復力と...

美しい女性にとってSEOを行うことはどれほど難しいのでしょうか?

A5 にソフト記事を投稿しに来る人は、すべて有名なウェブマスターだと思います。これらのウェブマスター...

中国初のフルアクセスWAFが好評、Tencent Cloud WAFが再びガートナーに認められる

最近、Tencent Cloud WAF は、国際的に有名な調査機関である Gartner が発表し...

インターネット金融業務入門ガイド!

インターネット時代において、伝統的な金融機関とインターネット企業は、インターネット技術と情報通信技術...

inertianetworks-$45/年/VPS/KVM/2g メモリ/50g ハードドライブ/2T トラフィック/quadranet ロサンゼルス

2009 年に設立された VPS 販売業者 inertianetworks.com は最近、年間支払...