发布日期:2024 年 10 月 21 日下午 4:00(太平洋夏令时)
AWS ALB Route Directive Adapter For Istio 存储库提供了集成到开源 Kubeflow 项目中的 OIDC 身份验证机制。该适配器使用 JWT 进行身份验证,但缺少适当的签名者和颁发者验证。在忽略安全最佳实践的 ALB 部署中,ALB 目标直接暴露在互联网流量下,不法分子则可以通过提供由不受信任实体签名的 JWT 来伪造 OIDC 联合身份会话,成功绕过身份验证。
受影响的版本:v1.0、v1.1
解决方案
该存储库/包已被弃用,生命周期已结束,不再受到积极支持。
临时措施
作为安全最佳实践,请确保您的 ELB 目标(例如 EC2 实例、Fargate 任务等)没有公共 IP 地址。
确保任何分支或派生代码可验证 JWT 中的签名者属性是否与服务所用应用程序负载均衡器的 ARN 相匹配。
参考
- ALB 文档特别指出,“为确保安全,您必须在基于声明进行任何授权之前先验证签名,并验证 JWT 头部中的签名者字段包含预期的应用程序负载均衡器 ARN。”
- Python 示例
- GitHub 安全公告
- CVE-2024-8901
我们要感谢 Miggo Security 通过协调披露流程就此问题展开合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。