AWS отвечают за исправления и поддержку операционной системы и времени выполнения. Но если вы намеренно внедрили уязвимость XXE, за которую вы обязаны защищать.
Хотя предоставление / etc / passwd для лямбда-функции - когда вы пользователь с изолированными правами в «песочнице» не очень критично, есть другие вопросы, которые могут войти в игру.
Например, если бы они могли запустить эксплойт для раскрытия переменных среды внутри функции, они могли бы получить ключи API AWS для роли IAM, в которой выполняется функция - и оттуда получить доступ к любому Функция может получить доступ.
Она также может считывать и извлекать данные из чего угодно в каталогах /tmp и /var/task, которые содержат временные файлы и ваш код / двоичный код соответственно.
Уязвимость XXE - это не то, что входит в сферу действия AWS, это уязвимость, представленная кодом вашего приложения - вы должны ее исправить.