偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

亞馬遜云科技修復(fù)了 AWS Glue 服務(wù)中的安全漏洞

譯文
云計(jì)算
Amazon Web Services 修復(fù)了影響 AWS Glue 和 AWS CloudFormation 的兩個(gè)缺陷。

【51CTO.com快譯】Amazon Web Services 修復(fù)了影響 AWS Glue 和 AWS CloudFormation 的兩個(gè)缺陷。

據(jù) Orca Security 稱,AWS Glue 中的漏洞可能允許攻擊者使用該服務(wù)創(chuàng)建資源,并訪問(wèn)其他 AWS Glue 客戶的數(shù)據(jù)。

Orca 研究人員表示,這是由于 AWS Glue 內(nèi)部配置錯(cuò)誤造成的,AWS 今天證實(shí)它已經(jīng)修復(fù)了該問(wèn)題。

Glue 于 2017 年推出,是一種托管的無(wú)服務(wù)器數(shù)據(jù)集成服務(wù),用于連接大型數(shù)據(jù)庫(kù),允許開(kāi)發(fā)人員為機(jī)器學(xué)習(xí)作業(yè)提取、轉(zhuǎn)換和加載 (ETL)。

Orca 研究人員發(fā)現(xiàn) Glue 功能可用于獲取 AWS 服務(wù)自己賬戶中某個(gè)角色的憑證,從而使攻擊者可以訪問(wèn)內(nèi)部服務(wù)的應(yīng)用程序編程接口 (API)。

使用這種內(nèi)部錯(cuò)誤配置的訪問(wèn),攻擊者可以提升帳戶內(nèi)的權(quán)限并獲得完全的管理權(quán)限。

“我們確認(rèn)我們將能夠訪問(wèn)其他 AWS Glue 客戶擁有的數(shù)據(jù),” Orca 研究員 Yanir Tsarimi 在一篇文章中說(shuō)。

AWS 在一份聲明中表示,Glue 客戶不需要更新系統(tǒng),并強(qiáng)調(diào)該漏洞不會(huì)影響不使用 Glue 的 AWS 客戶。

“利用 AWS Glue 功能,研究人員獲得了特定于服務(wù)本身的憑證,AWS 內(nèi)部的錯(cuò)誤配置允許研究人員將這些憑證用作 AWS Glue 服務(wù),” AWS 說(shuō)。

“這不可能被用來(lái)影響不使用 AWS Glue 服務(wù)的客戶。”

此外,AWS 表示,它審計(jì) Glue 日志可追溯到2017 年推出,并確認(rèn)自那時(shí)以來(lái)沒(méi)有客戶數(shù)據(jù)受到該漏洞的影響。

“當(dāng)報(bào)告此問(wèn)題時(shí),AWS 立即采取行動(dòng)糾正此問(wèn)題。已經(jīng)對(duì)追溯到服務(wù)啟動(dòng)的日志進(jìn)行了分析,我們最終確定與此問(wèn)題相關(guān)的唯一活動(dòng)是研究人員擁有的賬戶之間的活動(dòng),”AWS說(shuō)。

“沒(méi)有其他客戶的賬戶受到影響。AWS Glue 在客戶賬戶中采取的所有操作都記錄在 CloudTrail 記錄中,客戶可以控制和查看。”

Orca在 AWS中發(fā)現(xiàn)了第二個(gè)漏洞,該漏洞允許攻擊者破壞 CloudFormation 中的服務(wù)器,讓它們作為 AWS 基礎(chǔ)設(shè)施服務(wù)運(yùn)行。AWS 客戶可以使用 CloudFormation 來(lái)預(yù)置和管理云資源。
該公司發(fā)現(xiàn)了一個(gè) XML 外部實(shí)體注入 (XXE) 漏洞,該漏洞允許它代表服務(wù)器讀取文件并執(zhí)行 Web 請(qǐng)求。根據(jù) Orca 的說(shuō)法,攻擊者可以利用該漏洞來(lái)獲得“對(duì) AWS 中任何資源的特權(quán)訪問(wèn)”。

據(jù) Orca 稱,AWS 也修復(fù)了這個(gè)缺陷。

【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

責(zé)任編輯:趙立京 來(lái)源: 51CTO
相關(guān)推薦

2009-02-03 09:01:40

2014-09-26 09:28:14

Bash漏洞Bash軟件安全漏洞

2014-04-02 09:57:46

2020-08-16 13:07:15

語(yǔ)音助手亞馬遜漏洞

2014-06-03 09:23:41

2014-06-03 11:36:18

2020-11-21 19:30:48

GitHub代碼開(kāi)發(fā)者

2013-10-28 11:13:47

2020-09-21 17:29:42

云計(jì)算

2014-11-26 09:27:57

Docker開(kāi)源應(yīng)用容器引擎

2011-03-14 09:16:03

Tomcat

2012-12-21 17:11:22

2012-04-28 14:00:06

2010-08-25 11:05:03

2021-02-14 11:25:47

漏洞微軟網(wǎng)絡(luò)安全

2019-02-27 15:46:10

數(shù)據(jù)泄露隱私安全

2021-04-15 10:11:55

亞馬遜云科技云安全

2009-09-27 13:11:24

2015-07-28 09:44:38

集中式云數(shù)據(jù)加密安全漏洞

2018-06-27 10:07:28

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)