AWS修補了可被用以發動DoS、資料外洩的容器映像檔服務漏洞

圖片來源: 

Unsplash

AWS容器服務一項元件的重大漏洞,可被用來發動阻斷服務(DoS)、外洩資料、網路橫向移動等多種型態攻擊。AWS已經在上個月將之修補。

AWS容器登錄檔(Amazon Elastic Container Registry,ECR)是AWS的受管Docker容器登錄檔,可供開發人員存放、共享及部署容器映像。ECR Public是開放給外部人士共享的映像檔儲存庫,其中Public Gallery則是一個公共入口網站,列出所有代管在ECR Public的公開儲存庫。許多知名公司和專案、服務像是NGINX、Ubuntu、Amazon Linux、HashCorp Consul都在此發佈映像檔給外部使用者。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

安全廠商Lightspin在ECR Public Gallery的主要JavaScript檔案中發現一組未記載的API actions,可用來新增、刪除、變更容器映像檔。這些API actions雖然未記載,卻是有效的,這意謂著可為找到這些API的人所用。研究人員指出,此一漏洞可讓攻擊者刪除其他AWS帳號名下的ECR映像檔,或上傳、新增惡意映像檔,進而發動阻斷服務、資料外洩、網路橫向移動、權限擴張、資料破壞和其他多變量攻擊路徑。

研究人員在一次概念驗證(PoC)中,成功撰寫了一個Python腳本程式呼叫其中一個API action,並刪除測試用ECR Public上儲存庫的映像檔。

安全廠商於11月15日向AWS通報這項漏洞,這家雲端大廠隔日就修補了漏洞。

https://www.ithome.com.tw/news/154698

您可能也會喜歡…