发布日期:2024 年 6 月 11 日上午 9:00(太平洋夏令时)
AWS 了解到 CVE-2024-37293 中描述的与开源 AWS 部署框架 (ADF) 有关的问题。这些问题影响了负责部署 ADF 引导堆栈以促进多账户跨区域部署的引导进程。ADF 引导过程依赖于提升的权限来执行此任务。引导过程有两个版本:使用 AWS CodeBuild 的代码更改驱动管道和使用 AWS Lambda 的事件驱动状态机。如果参与者有权更改 CodeBuild 项目或 Lambda 函数的行为,则他们将能够升级其权限。我们已经在 4.0 及更高版本中解决了这个问题。我们建议客户立即升级到最新版本,以确保深入防范这些问题。
作为临时缓解措施,我们建议为 ADF 在管理账户中创建的角色添加权限边界。权限边界应拒绝所有 IAM 和 STS 操作。在升级 ADF 或引导新账户之前,此权限边界应保持不变。虽然权限边界已经到位,但账户管理和引导无法创建、更新或代入角色。这可以减轻权限升级风险,但也会禁用 ADF 创建、管理和引导账户的功能。
我们要感谢西安电子科技大学负责任地向 AWS 披露这个问题。
如有安全相关问题或疑虑,请通过 aws-security@amazon.com 与我们联系。