AWS 修复公共容器镜像库中的漏洞
重点总结
- AWS 发现并修复了其公共容器镜像库中的一个漏洞。
- 该漏洞可能被攻击者利用,导致服务拒绝、数据外泄、权限提升等多种攻击方式。
- AWS 在 24 小时内发布了漏洞修复,未发现其他客户账号受到影响。
根据报道,亚马逊网络服务()近日修复了其公共容器镜像库 Amazon Elastic Container Register (ECR)
中的一个漏洞。该库被广泛用于亚马逊 Linux、Ubuntu、NGINX 及 HashiCorp Consul 等操作系统与服务。网络安全公司
Recorded Future 的新闻网站 报导了这一事件。
漏洞由 Lightspin 的安全研究总监 Gafnit Amiga 发现,攻击者可能利用此安全缺陷来帮助创建、删除以及更新 ECR Public中的镜像、层和注册表标签。Amiga表示:“这个漏洞可能导致服务拒绝、数据外泄、横向移动、权限提升、数据破坏及其他多种攻击路径,其复杂程度仅限于攻击者的狡猾程度和目标。”
该漏洞于 11 月 14 日被报告至 AWS,并在不到 24 小时内进行修复。AWS随后表示:“我们已对所有日志进行了全面分析,自信我们的审查结果是明确的,且与此问题相关的活动只发生在研究人员所拥有的账户之间。没有其他客户账户受到影响,也无须客户采取任何行动。我们感谢
Lightspin 报告了这一问题。”
相关信息:
- AWS 官方博客:
- Lightspin 相关报道:
