# Reported Amazon RDS PostgreSQL Issue\[2022-04/1]
## Reported Amazon RDS PostgreSQL Issue
최근에 보안 연구원이 Aurora PostgreSQL 관련 문제를 보고했습니다. 이 문제로 인해 고유 Aurora 클러스터에 특정된 내부 자격 증명에 대한 액세스를 획득할 수 있었습니다. 고객 간 또는 클러스터 간 액세스는 가능하지 않았지만, 이 문제를 활용할 수 있는 높은 권한을 가진 로컬 데이터베이스 사용자가 클러스터에 호스팅되는 데이터에 대한 추가 액세스를 획득하거나, 데이터베이스를 실행하는 기본 호스트의 운영 체제 내에 있는 파일을 읽을 수 있었습니다.
이 문제는 Amazon Aurora PostgreSQL과 Amazon RDS for PostgreSQL에 사전 설치된 서드 파티 오픈 소스 PostgreSQL 확장인 'log\_fdw'와 연관되어 있었습니다. 이 문제로 인해 연구자는 계정 내에 있는 데이터베이스 인스턴스의 로컬 시스템 파일(Aurora에 대한 자격 증명이 포함된 파일 포함)의 내용을 살펴볼 수 있었습니다. 이 문제를 활용하기에 충분한 권한이 있는 인증된 데이터베이스 사용자는 이러한 자격 증명을 사용하여 자격 증명의 출처인 고유한 데이터베이스 리소스에 대해 승격된 액세스를 획득할 수 있었습니다. 이 자격 증명을 사용해 내부 RDS 서비스에 액세스하거나 데이터베이스 또는 AWS 계정 사이를 이동할 수는 없었습니다. 이 자격 증명은 이 자격 증명의 출처가 되는 Aurora 데이터베이스 클러스터와 연결된 리소스에 액세스하는 용도로만 사용될 수 있었습니다.
AWS는 이 문제가 보고된 즉시 해결 조치를 취했습니다. 완화 조치의 하나로, 이 문제 방지를 위해 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL를 업데이트했습니다. 또한 아래에 나열된 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL 마이너 버전의 사용을 중단시켰습니다. 이에 따라 고객은 해당 버전을 사용하여 더 이상 새로운 인스턴스를 생성할 수 없습니다.
다음의 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL 마이너 버전의 사용이 중단되었습니다.
### Amazon Aurora PostgreSQL 호환 버전:
* 10.11, 10.12, 10.13
* 11.6, 11.7, 11.8
### Amazon RDS for PostgreSQL 버전:
* 13.2, 13.1
* 12.6, 12.5, 12.4, 12.3, 12.2
* 11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1
* 10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1
* 9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1
* 9.5, 9.4, 9.3
기존의 지원되는 버전을 포함해 마이너 버전에 대한 자세한 릴리스 정보는 다음의 웹 페이지를 참조하세요.\
Aurora PostgreSQL: [https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html
](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html)RDS PostgreSQL:
이 문제를 보고해 주신 Lightspin에 감사드립니다.
보안 관련 질문이나 문의 사항은 을 통해 제출할 수 있습니다.
출처 : [AWS 바로가기](https://aws.amazon.com/ko/security/security-bulletins/AWS-2022-004/)
{% embed url="" %}
NHN Cloud 정보 사이트
{% endembed %}
{% embed url="" %}
취약점 진단 분석 평가 방법 사이트
{% endembed %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://sul.skill.or.kr/security-update-infomations/2022/reported-amazon-rds-postgresql-issue-2022-04-1.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.