亚马逊RDS使用的第三方扩展有漏洞，可导致内部凭据遭泄露

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

亚马逊 RDS 是一种管理数据库服务，为多个数据库引擎提供支持，包括AWS 自家的数据库引擎 Amazon Aurora，为MySQL和 PostgreSQL 提供支持。

该漏洞目前已修复，位于 Aurora PostgreSQL 引擎中，更具体而言，位于第三方开源 PostgreSQL 扩展 “log_fdw”中，可使用户通过SQL接口访问数据库引擎日志，并构建外表。

在搜索位于亚马逊 Aurora 引擎中的潜在漏洞时，Lightspin 公司的研究员 Gafnit Amiga 发现可绕过 log_fdw 扩展验证并获得对某些系统文件的访问权限，包括包含内部凭据的文件。

AWS 指出，被泄露凭据“仅限于 Aurora 集群”，即不可被用于攻陷其它集群或客户。

AWS 解释称，“虽然跨客户或跨集群访问是不可能的；然而，可高权限本地数据库用户可能获得对托管在集群上的数据的额外访问权限，或者读取在运行数据库的底层主机的操作系统。”

AWS 发现，该log_fdw 扩展预装在 Aurora PostgreSQL 和亚马逊 PostgreSQL 的 RDS。具有权限的认证用户可触发该漏洞并通过被泄露的凭据获得对数据库资源的提权访问权限。

AWS 指出，“他们无法使用这些凭据访问内部RDS服务或在数据库或AWS账户之间移动。这些凭据仅可用于访问和 Aurora 数据库集群相关的资源，从而检索凭据。”

研究员在2021年12月9日将漏洞告知亚马逊公司。亚马逊在12月14日发布补丁，但向所有客户部署该修复方案需要额外3个月的时间。

亚马逊更新了 Aurora PostgreSQL 和适用于 PostgreSQL 的 RDS，解决该漏洞并启用了一些非主要版本，阻止用户通过这些用户创建新的实例。