សេវាវេប Amazon (AWS) បានដោះស្រាយបញ្ហា cross-tenant នៅក្នុងផ្លេតហ្វមរបស់ខ្លួន ដែលអាចបណ្តាលឱ្យហេគឃ័រប្រើសិទ្ធិដំណើរការធនធានបាន។ បញ្ហានេះពាក់ព័ន្ធនឹងបញ្ហា confused deputy ជាប្រភេទសិទ្ធិ ដែលកម្មវិធីមិនអនុញ្ញាតឱ្យអនុវត្ត តែអាចប្រើអង្គភាពដែលមានសិទ្ធិច្រើនជាង ដើម្បីអនុវត្តសកម្មភាព។ Datadog ចេញរបាយការណ៍កាលពីថ្ងៃទី១ ខែកញ្ញា ឆ្នាំ២០២២ ពីការបញ្ចេញ patch នៅថ្ងៃទី៦ ខែកញ្ញា។ អ្នកស្រាវជ្រាវនៅ Datadog បានថ្លែងថាៈ ការគំរាមនេះបានប្រើសេវា AppSync ដើម្បីបង្រួមតួនាទីនៅក្នុងគណនី AWS ផ្សេង ហើយបណ្តាលឱ្យហេគឃ័រចូលទៅក្នុងអង្គភាពជនរងគ្រោះ និងប្រើធនធាននៅក្នុងគណនីនោះ។
Amazon បានថ្លែងថាៈ គ្មានអតិថិជនណាមួយរងផលប៉ះពាល់ពីបញ្ហានេះទេ។ ក្រុមហ៊ុនបានពណ៌នាពី ករណីរស៊ើបនៅក្នុង AWS AppSync ដែលអាចត្រូវបានប្រើ សុពលភាពនៃការប្រើប្រាស់ ដើម្បីឆ្លងកាត់គណនី ជាសេវាឆ្លងកាត់គណនីអតិថិជន។
កម្មវិធី AWS AppSync ផ្តល់ឱ្យអ្នកអភិវឌ្ឍនូវ GraphQL APIs ដើម្បីទទួល ឬបញ្ជាក់ទិន្នន័យពីប្រភពទិន្នន័យចម្រុះ ក៏ដូចជា ចែករំលែកទិន្នន័យដោយស្វ័យប្រវត្តិជាមួយនឹងទូរស័ព្ទ និងកម្មវិធីវេប និងក្លោដ។ សេវាកម្មនេះត្រូវបានប្រើដើម្បីរួមបញ្ចូលជាមួយ AWS ផ្សេង តាមរយៈតួនាទីជាក់លាក់ ត្រូវបានបង្កើត ដើម្បីហៅ API ដែលជាតម្រូវការចាំបាច់ IAM ។ ខណៈពេលដែល AWS មានការការពារ នៅនឹងកន្លែង ដើម្បីការពារ AppSync ពីការប្រើប្រាស់តាមចិត្តនោះ ការធ្វើឱ្យមានសុពលភាពនៃតួនាទីរបស់ Amazon Resource Name (ARN) កើតឡើង ហើយការត្រួតពិនិត្យអាចត្រូវបានមើលរំលង “serviceRoleArn”។
បន្ទាប់មក ឥរិយាបថនេះអាចត្រូវបានកេងប្រវ័ញ្ច ដើម្បីផ្តល់អត្តសញ្ញាណគណនី AWS ផ្សេងគ្នា។ Frichette បានថ្លែងថាៈ បញ្ហានៅក្នុង AWS AppSync បានបើកឱ្យហេគឃ័រឆ្លងកាត់ព្រំដែនគណនី និងប្រតិបត្តិ AWS API calls ទៅកាន់គណនីជនរងគ្រោះ តាមរយៈតួនាទី IAM ដែលត្រូវបានជឿជាក់នៅក្នុងសេវា AppSync។ ជាងនេះ ហេគឃ័រអាចលួចព័ត៌មានពីអង្គភាព ដែលធ្លាប់ប្រើ AppSync និងទទួលបានសិទ្ធិចូលប្រើធនធាន ដែលទាក់ទងនឹងតួនាទីទាំងនោះ៕
ប្រភពព័ត៌មាន៖ ២៨ វិច្ឆិកា ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា
