최근에 보안 연구원이 Aurora PostgreSQL 관련 문제를 보고했습니다. 이 문제로 인해 고유 Aurora 클러스터에 특정된 내부 자격 증명에 대한 액세스를 획득할 수 있었습니다. 고객 간 또는 클러스터 간 액세스는 가능하지 않았지만, 이 문제를 활용할 수 있는 높은 권한을 가진 로컬 데이터베이스 사용자가 클러스터에 호스팅되는 데이터에 대한 추가 액세스를 획득하거나, 데이터베이스를 실행하는 기본 호스트의 운영 체제 내에 있는 파일을 읽을 수 있었습니다.
이 문제는 Amazon Aurora PostgreSQL과 Amazon RDS for PostgreSQL에 사전 설치된 서드 파티 오픈 소스 PostgreSQL 확장인 'log_fdw'와 연관되어 있었습니다. 이 문제로 인해 연구자는 계정 내에 있는 데이터베이스 인스턴스의 로컬 시스템 파일(Aurora에 대한 자격 증명이 포함된 파일 포함)의 내용을 살펴볼 수 있었습니다. 이 문제를 활용하기에 충분한 권한이 있는 인증된 데이터베이스 사용자는 이러한 자격 증명을 사용하여 자격 증명의 출처인 고유한 데이터베이스 리소스에 대해 승격된 액세스를 획득할 수 있었습니다. 이 자격 증명을 사용해 내부 RDS 서비스에 액세스하거나 데이터베이스 또는 AWS 계정 사이를 이동할 수는 없었습니다. 이 자격 증명은 이 자격 증명의 출처가 되는 Aurora 데이터베이스 클러스터와 연결된 리소스에 액세스하는 용도로만 사용될 수 있었습니다.
AWS는 이 문제가 보고된 즉시 해결 조치를 취했습니다. 완화 조치의 하나로, 이 문제 방지를 위해 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL를 업데이트했습니다. 또한 아래에 나열된 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL 마이너 버전의 사용을 중단시켰습니다. 이에 따라 고객은 해당 버전을 사용하여 더 이상 새로운 인스턴스를 생성할 수 없습니다.
다음의 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL 마이너 버전의 사용이 중단되었습니다.
