发布日期:2024 年 4 月 15 日上午 7:00(太平洋夏令时)
AWS 已知悉 CVE-2024-28056 问题的存在,该问题会影响早于 12.10.1 的 Amplify CLI 版本以及使用 Amplify CLI 的 Amplify Studio。我们于 2024 年 1 月 10 日发布了针对 Amplify CLI 的修补程序。该修补程序也修复了 Amplify Studio 的问题,此外我们还建议客户升级到 Amplify CLI 12.10.1 或更高版本以解决此问题。我们已主动与使用这些受影响版本的客户进行了沟通。
AWS 还采取了另外两项措施,来保护使用 Amplify 的客户免受意外配置错误的影响。首先,AWS 在 AWS Security Token Service(STS)中增加了一项缓解措施,即不使用条件将访问范围缩小至使用身份验证声明的特定 Amazon Cognito 身份池时,通过使用将 Amazon Cognito 作为可信主体的信任策略来代入跨账户角色的尝试将会失败。因此,使用未修补的早期版本 Amplify 创建的策略将不再能够进行跨账户访问。其次,AWS 在 AWS Identity and Access Management(IAM)控制面板中增加了一项缓解措施,即不添加限制访问条件时,任何创建将 Amazon Cognito 作为可信主体的角色信任策略的尝试都将失败。
我们非常感谢 Datadog 负责任地向 AWS 披露了此问题。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。