Amazon tarafından AWS Glue hizmetindeki güvenlik açığı düzeltildi. İki kusurun da düzeltildiği bilgisi verildi.
AWS Glue hizmetinde güvenlik kusurları giderildi
Amazon Web Services, AWS Glue ve AWS CloudFormation’ı etkileyen iki kusuru düzeltti.
Orca Security’ye göre AWS Glue’daki hata, hizmeti kullanan bir saldırganın kaynaklar oluşturmasına ve diğer AWS Glue müşterilerinin verilerine erişmesine izin verebilir. Orca araştırmacıları, bunun AWS Glue içindeki dahili bir yanlış yapılandırmadan kaynaklandığını ve AWS’nin düzelttiğini onayladığını söyledi. 2017’de piyasaya sürülen Glue, büyük veritabanlarını bağlamak için yönetilen sunucusuz bir veri entegrasyon hizmeti sunuyor. Geliştiricilerin makine öğrenimi işleri için ayıklama, dönüştürme ve yükleme (ETL) yapmasına olanak tanıyor.
Orca araştırmacıları, dahili hizmetin uygulama programlama arayüzüne (API) bir saldırı erişimi sağlamak için AWS hizmetinin kendi hesabındaki bir rolün kimlik bilgilerini elde etmek için bir Tutkal özelliğinin kullanılabileceğini keşfetti.
Bu erişimi dahili yanlış yapılandırmayla kullanan bir saldırgan, bir hesaptaki ayrıcalıkları yükseltebilir ve tam yönetici ayrıcalıkları elde edebilir.