Изилдөөчүлөр Amazon ECS'те ECScape деген кемчиликти табышты, ал эмиштер аралык аккредитив уурдоого мүмкүндүк берет

Өзүңөрдү даярдаңыз, техникалык үй-бүлө. Amazon Elastic Container Service (ECS)'те 'ECScape' деп аталган коркунучтуу кемчилик табылды, жана ал айтылгандай коркунучтуу. Изилдөөчүлөр EC2 экземплярларындагы ECS агент IAM аккредитивтерин контейнерлерге чыгарып жатканын аныкташты. Бул сиз эмиштерди туура бөлүп салбасаңыз, AWS королдугуңуздун ачкычтарын сураган билген адамга бергендигиңизди билдирет.

Мына бул жерде кыйынчылык: бул жөн гана теориялык кемчилик эмес. Бул толук масштабдуу, эмиштер аралык аккредитив уурдоо партиясы. Кол салуучулар бир эле EC2 экземплярында иштеп жаткан башка эмиштерден аккредитивтерди уурдап алышат. Чакыруу керек эмес.

Изилдөөчүлөр жөн гана кемчиликти тапкан жок; алар аны WebSocket байланыштары аркылуу кантип пайдаланууга болорун көрсөтүштү. Бул сиздин кадимки 'программалык камсыздоону жаңыртуу' абалыңыз эмес. Бул 'контейнер коопсуздук стратегияңызды кайра ойлонуу' ойготкуч чалуу.

Ошентип, эмне кылуу керек? Биринчиден, эгер сиз EC2'де Amazon ECS колдонуп жатсаңыз, бөлүү оюнуңузду текшерүү керек. AWS кабарландырылды, бирок чечүү чыкканга чейин, контейнерлериңизди Fort Knox'тан да бекем бөлүп салуу сизде.