Reported Amazon RDS PostgreSQL Issue[2022-04/1]

[AWS] 보안공지 참고

Reported Amazon RDS PostgreSQL Issue

최근에 보안 연구원이 Aurora PostgreSQL 관련 문제를 보고했습니다. 이 문제로 인해 고유 Aurora 클러스터에 특정된 내부 자격 증명에 대한 액세스를 획득할 수 있었습니다. 고객 간 또는 클러스터 간 액세스는 가능하지 않았지만, 이 문제를 활용할 수 있는 높은 권한을 가진 로컬 데이터베이스 사용자가 클러스터에 호스팅되는 데이터에 대한 추가 액세스를 획득하거나, 데이터베이스를 실행하는 기본 호스트의 운영 체제 내에 있는 파일을 읽을 수 있었습니다.

이 문제는 Amazon Aurora PostgreSQL과 Amazon RDS for PostgreSQL에 사전 설치된 서드 파티 오픈 소스 PostgreSQL 확장인 'log_fdw'와 연관되어 있었습니다. 이 문제로 인해 연구자는 계정 내에 있는 데이터베이스 인스턴스의 로컬 시스템 파일(Aurora에 대한 자격 증명이 포함된 파일 포함)의 내용을 살펴볼 수 있었습니다. 이 문제를 활용하기에 충분한 권한이 있는 인증된 데이터베이스 사용자는 이러한 자격 증명을 사용하여 자격 증명의 출처인 고유한 데이터베이스 리소스에 대해 승격된 액세스를 획득할 수 있었습니다. 이 자격 증명을 사용해 내부 RDS 서비스에 액세스하거나 데이터베이스 또는 AWS 계정 사이를 이동할 수는 없었습니다. 이 자격 증명은 이 자격 증명의 출처가 되는 Aurora 데이터베이스 클러스터와 연결된 리소스에 액세스하는 용도로만 사용될 수 있었습니다.

AWS는 이 문제가 보고된 즉시 해결 조치를 취했습니다. 완화 조치의 하나로, 이 문제 방지를 위해 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL를 업데이트했습니다. 또한 아래에 나열된 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL 마이너 버전의 사용을 중단시켰습니다. 이에 따라 고객은 해당 버전을 사용하여 더 이상 새로운 인스턴스를 생성할 수 없습니다.

다음의 Amazon Aurora PostgreSQL 및 Amazon RDS for PostgreSQL 마이너 버전의 사용이 중단되었습니다.

Amazon Aurora PostgreSQL 호환 버전:

10.11, 10.12, 10.13
11.6, 11.7, 11.8

Amazon RDS for PostgreSQL 버전:

13.2, 13.1
12.6, 12.5, 12.4, 12.3, 12.2
11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1
10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1
9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1
9.5, 9.4, 9.3