التخطي إلى المحتوى الرئيسي

تعمل Amazon على إصلاح ثغرة أمنية في خدمة AWS Glue


تعمل Amazon Web Services على إصلاح عيب يمكن أن يمنح المهاجم إمكانية الوصول إلى بيانات المستخدمين الآخرين على خدمة تكامل البيانات المُدارة بواسطة Glue.








قامت Amazon Web Services بإصلاح عيبين يؤثران على AWS Glue و AWS CloudFormation.

قد يسمح الخطأ الموجود في AWS Glue للمهاجم باستخدام الخدمة لإنشاء موارد والوصول إلى بيانات عملاء AWS Glue الآخرين ، وفقًا لـ Orca Security.

يقول باحثو Orca إن ذلك كان بسبب خطأ داخلي في التكوين داخل AWS Glue ، والذي أكدت AWS اليوم أنه تم إصلاحه منذ ذلك الحين.

تم إطلاق Glue في عام 2017 ، وهي خدمة مُدارة لتكامل البيانات بدون خادم لتوصيل قواعد البيانات الكبيرة ، مما يسمح للمطورين باستخراج وتحويل وتحميل (ETL) لوظائف التعلم الآلي.

اكتشف باحثو Orca إمكانية استخدام ميزة Glue للحصول على بيانات الاعتماد لدور داخل حساب خدمة AWS الخاص لمنح وصول هجوم إلى واجهة برمجة التطبيقات الخاصة بالخدمة الداخلية (API).

باستخدام هذا الوصول مع التهيئة الداخلية الخاطئة ، يمكن للمهاجم تصعيد الامتيازات داخل حساب والحصول على امتيازات إدارية كاملة.

قال يانير تساريمي الباحث في شركة Orca : "لقد أكدنا أننا سنكون قادرين على الوصول إلى البيانات المملوكة لعملاء AWS Glue الآخرين" .

قالت AWS في بيان إن عملاء Glue لا يحتاجون إلى تحديث الأنظمة وأكدوا أن الخطأ لا يمكن أن يؤثر على عملاء AWS الذين لا يستخدمون Glue.

قالت AWS: "باستخدام ميزة AWS Glue ، حصل الباحثون على بيانات اعتماد خاصة بالخدمة نفسها ، وقد سمح خطأ داخلي في AWS للباحثين باستخدام بيانات الاعتماد هذه كخدمة AWS Glue " .

"لا توجد طريقة يمكن من خلالها استخدام هذا للتأثير على العملاء الذين لا يستخدمون خدمة AWS Glue."

بالإضافة إلى ذلك ، قالت AWS إنها دققت سجلات Glue التي تعود إلى إطلاقها في عام 2017 وأكدت أنه لم تتأثر بيانات العملاء بهذا الخلل منذ ذلك الحين.

"تحركت AWS على الفور لتصحيح هذه المشكلة عندما تم الإبلاغ عنها. تم إجراء تحليل للسجلات التي تعود إلى بدء تشغيل الخدمة وقررنا بشكل قاطع أن النشاط الوحيد المرتبط بهذه المشكلة كان بين الحسابات المملوكة للباحث" ، AWS قال.

"لم تتأثر أي حسابات عميل آخر. يتم تسجيل جميع الإجراءات التي اتخذتها AWS Glue في حساب العميل في سجلات CloudTrail التي يتحكم بها العملاء ويمكن رؤيتها."

اكتشف Orca خطأً ثانيًا في AWS سمح للمهاجمين بخرق خادم داخل CloudFormation بطريقة تتيح لهم العمل كخدمة بنية أساسية لـ AWS. يمكن لعملاء AWS استخدام CloudFormation لتوفير موارد السحابة وإدارتها.

حددت الشركة ثغرة أمنية في إدخال كيان خارجي (XXE) مما سمح لها بقراءة الملفات وتنفيذ طلبات الويب نيابة عن الخادم. وفقًا لـ Orca ، يمكن للمهاجم استخدام الخلل للحصول على "وصول مميز إلى أي مورد في AWS".

ووفقًا لـ Orca ، قامت AWS أيضًا بإصلاح هذا الخلل.

المشاركات الشائعة من هذه المدونة

دعنا نذهب فيديو: الاتصال بصريا

يعد الفيديو وسيلة ميسورة التكلفة لزيادة المبيعات والتواصل مع الفرق ودعم العملاء وتدريب الموظفين. أظهر العامان الماضيان مدى أهمية الفيديو بالنسبة للشركات الصغيرة. سرّع جائحة COVID من تبني الأعمال للفيديو ، سواء من أجل التعاون أو الاتصالات الخارجية. بالنسبة للعديد من الشركات ، يعد الفيديو أيضًا أداة للبحث عن العملاء المحتملين في جميع أنحاء العالم وتسويقهم وتقديمهم والالتقاء بهم. على نحو متزايد ، تقوم الشركات بتنفيذ الفيديو لدعم مبادرات العمل عن بعد. تقدر مؤسسة جارتنر أن 31٪ من جميع العاملين في جميع أنحاء العالم سيكونون عن بُعد هذا العام ، وهو رقم يشمل أولئك الذين يعملون بجدول زمني هجين أو بعيد تمامًا. سيكون لدى الولايات المتحدة أكبر نسبة من العمال عن بعد في عام 2022 ، حيث ستشكل 53٪ من القوة العاملة. القدرة على دعم الفيديو الفيديو عنصر حاسم في العمل عن بعد. هناك شيء مميز حول مشاركة الاتصال المرئي مع زملاء العمل ، وغالبًا ما يحفز الإبداع والتعاون. يمكنك رؤية تفاعل الأشخاص في الوقت الفعلي ، دون الحاجة إلى التردد أو محاولة قراءة "نغمة" البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن مق...

لا يزال هجوم برامج الفدية على FinalSite يعطل خدمات البريد الإلكتروني في آلاف المدارس

أوصت الشركة العملاء بالحد من استخدام البرامج لتحديثات المعلومات الهامة صباح يوم الجمعة حيث سعت المدارس إلى مراسلة أولياء الأمور حول COVID والإغلاق المرتبط بالثلوج. لا تزال شركة FinalSite لتكنولوجيا التعليم في طور التعافي من هجوم فدية مدمر أدى إلى شل العديد من الخدمات التي تقدمها لآلاف المدارس في جميع أنحاء العالم هذا الأسبوع. في تحديث صباح يوم الجمعة ، قالت الشركة إن "الغالبية العظمى" من مواقعها تعمل على الواجهة الأمامية ، لكن العديد من الأنظمة لا تزال تواجه مجموعة متنوعة من المشكلات. وحثوا عملاءهم - الذين يشملون آلاف المدارس في 115 دولة مختلفة - على تقييد "استخدام البرامج لتحديثات المعلومات الهامة للواجهة الأمامية" حتى يتأكدوا من أن جميع الوظائف تعمل بشكل كامل. وقالت الشركة: "تشمل أمثلة الاستخدام التي يجب تجنبها إرسال بريد إلكتروني / إشعارات ، ومهام سير العمل ، والاعتماد على التقويم والتنبيهات الرياضية ، وتحميل البيانات وما إلى ذلك". أثناء عودة بعض أنظمة الواجهة الأمامية ، قال موقع FinalSite إن بعض التصميم قد يكون مفقودًا ، وقد لا يتمكن المستخدمون من الو...

Samsung Galaxy S22 مقابل iPhone 13: دعنا نقارن الأرقام

الرائد الجديد الأكثر ملاءمةً للميزانية من Samsung وعروضه متوسطة المدى تتماشى مع نظيرتها التي تعمل بنظام iOS لمعرفة ما إذا كانت Apple أو Samsung ستسودان الصدارة في أوائل عام 2022 في ذلك الوقت من السنة مرة أخرى. لقد انتهينا جميعًا من التعافي من العطلات ، والحب في الأجواء مع اقتراب عيد الحب ، وتطلق Samsung أحدث وأكبر الإدخالات في خط Galaxy S الرئيسي . هذه المرة ، تقدم الشركة بعضًا من أفضل كاميراتها على الإطلاق ، وتقليل مطبات الكاميرا ، وشحن أسرع ، من بين تحسينات أخرى. في حين أن المقارنة الأكثر منطقية بين هاتفي Galaxy S22 و Galaxy S22 + الجديدتين قد تكون عبارة عن تشكيلة تفاح إلى تفاح مقابل برامج Android الرئيسية الأخرى ، سنفعل شيئًا مختلفًا قليلاً هنا ونقارن بين هذه التفاحات ، حسناً ، Apple. على وجه التحديد ، iPhone 13. ستساعد هذه المقارنة جنبًا إلى جنب هؤلاء المتسوقين الذين ما زالوا على الحياد حول ما إذا كانوا يريدون الانضمام إلى فريق Blue Bubble أو فريق Green Bubble من خلال وضع مواصفات Samsung Galaxy S22 و Galaxy S22 + جنبًا إلى جنب مع أقرب نظيرتها التي تعمل بنظام iOS. بالطبع ، الاختلافا...