Amazon Web Services、AWS Glue サービスのセキュリティ脆弱性を修正

Amazon Web Services、AWS Glue サービスのセキュリティ脆弱性を修正

[51CTO.com クイック翻訳] Amazon Web Services は、AWS Glue と AWS CloudFormation に影響する 2 つの欠陥を修正しました。

Orca Security によると、AWS Glue の脆弱性により、攻撃者がサービスを使用してリソースを作成し、他の AWS Glue 顧客のデータにアクセスできるようになる可能性があるとのことです。

Orca の研究者は、これは AWS Glue の内部構成エラーによるものだと述べ、AWS は本日、この問題を修正したことを確認した。

2017 年に開始された Glue は、大規模なデータベースに接続し、開発者が機械学習ジョブのために抽出、変換、ロード (ETL) を実行できるようにする、管理されたサーバーレス データ統合サービスです。

Orca の研究者は、Glue 機能を使用して AWS サービスの独自のアカウントのロールの認証情報を取得し、攻撃者が内部サービスのアプリケーション プログラミング インターフェイス (API) にアクセスできるようになる可能性があることを発見しました。

この内部の誤って構成されたアクセスを使用すると、攻撃者はアカウント内の権限を昇格し、完全な管理者権限を取得する可能性があります。

「AWS Glueの他の顧客が所有するデータにアクセスできるようになることを確認しました」とOrcaの研究員Yanir Tsarimi氏は投稿で述べた。

AWSは声明で、Glueの顧客はシステムを更新する必要はないとし、この脆弱性はGlueを使用していないAWSの顧客に影響を与えないことを強調した。

「研究者らはAWS Glueの機能を悪用し、サービス自体に固有の認証情報を入手したが、AWS内の誤った設定により、研究者らはそれらの認証情報をAWS Glueサービスとして使用できた」とAWSは述べた。

「これは、AWS Glue サービスを使用していない顧客に影響を与えるために使用することはできませんでした。」

さらにAWSは、2017年のリリースまで遡ってGlueのログを監査し、それ以降の顧客データは脆弱性の影響を受けていないことを確認したと述べた。

「この問題が報告されたとき、AWSは問題を修正するために直ちに行動を起こした。サービス開始までさかのぼるログを分析した結果、この問題に関連する唯一のアクティビティは研究者が所有するアカウント間であったことが最終的に判明した」とAWSは述べた。

「他の顧客アカウントには影響はありませんでした。AWS Glue が顧客アカウントで実行したすべてのアクションは CloudTrail レコードに記録され、顧客が制御および確認できます。」

Orca は、AWS の 2 番目の脆弱性を発見しました。この脆弱性により、攻撃者は CloudFormation 内のサーバーを侵害して、AWS インフラストラクチャ サービスとして実行できるようになります。 AWS のお客様は、CloudFormation を使用してクラウド リソースをプロビジョニングおよび管理できます。
同社は、ファイルを読み取り、サーバーに代わって Web リクエストを実行できる XML 外部エンティティ インジェクション (XXE) の脆弱性を発見しました。 Orca によれば、攻撃者はこの脆弱性を悪用して「AWS 内のあらゆるリソースへの特権アクセス」を取得する可能性があるという。

Orca によると、AWS もこの欠陥を修正したとのことです。

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  マイクロソフトはハイブリッド クラウドのイノベーション機能を活用して、業界の顧客が「クラウドを活用」できるようにしています。

>>:  JMeter 分散ストレステストの展開について話す

推薦する

SEMに必要なデータ分析

有資格の SEM 担当者として、データ分析能力が必要です。天津ネットワークプロモーション[www.s...

レンレンダイの数千万の資産運用資金を調査:関連会社に流入した可能性

「現場認証ラベル」の真偽疑惑、連立政権の「財務運営資金」数千万の行方を調査記者の曽宋が深圳からレポー...

Kubernetes 7周年記念:K8s の導入とアプリケーションの簡素化における VMware の成果と課題

コンテナベースの分散管理システムである Kubernetes は 7 年間の開発期間を経て、そのエコ...

ネットユーザーを満足させることが本当のSEO

かつての SEO は、何らかの方法で検索エンジンのランキングを向上させることを目的とした近視眼的な行...

Baidu製品プロモーション体験共有Baidu Space

Baidu をプロモーションのプラットフォームとして使用すると、重みが増すだけでなく、ユーザーの心の...

AWS が Amazon EC2 向け Apple macOS インスタンスを開始

本日正式に開始された AWS re:Invent カンファレンスにおいて、Amazon Web Se...

SEOの技術的基盤の限界を取り除きたいなら、戦略だけが広い視野を与えてくれる。

SEOは大変な仕事だと言う人は多い。毎日、記事を書いて外部リンクを貼るだけ。IT業界の出稼ぎ労働者み...

企業向けウェブサイト構築のメリットと機能は何ですか?

月給5,000~50,000のこれらのプロジェクトはあなたの将来ですウェブサイトは、企業がインターネ...

Google Urchin 設定: プロファイルでサイトのすべてのサブドメインを追跡する

1 つの構成ファイルで Web サイトのすべてのサブドメインを追跡するにはどうすればよいでしょうか。...

K8sオフライン展開の説明と実践的な操作

1. 概要Kubernetes は、コンテナ化されたアプリケーションの展開、管理、および操作の自動化...

マーケティングテクニック - 「バンドル販売」についての簡単な説明

最近、「No Man's Land」という映画が公開されました。皆さんはご覧になったかどうか...

クラウドネイティブの台頭に役立つ2020年のトップ8オープンソースツール

クラウドネイティブトレンドレポートIT 情報会社 Capgemini の最新の調査によると、2020...

Python を使用して MySQL テーブル データを MongoDB コレクションに移行する方法

[[410477]] 【51CTO.com クイック翻訳】はじめにMySQL は、データを正規化され...

ドリフトボトルを使って大量のトラフィックを獲得する秘訣

ウェブサイトのプロモーションは科学です。大まかに言えば、コンテンツ、外部リンク、内部リンクの構築です...

SEOVIPの驚くべきランキングは、ウェブサイトのユーザーグループがコンテンツよりも重要であることを証明しています

SEOVIPウェブサイトは2012年11月15日に開設されました。18日後、ターゲット最適化キーワー...