发布日期:2024 年 11 月 8 日下午 4:00(太平洋夏令时)
Data.all 是一个开源开发框架,可帮助客户在 AWS 上构建数据市场。
我们在 data.all 1.0.0 至 2.6.0 版本中发现了以下问题。2024 年 11 月 8 日,我们发布了修复程序,并且建议客户升级到 2.6.1 或更高版本,并确保对任何分叉或衍生代码进行修补以纳入新的修复程序。
- CVE-2024-52311 涉及 data.all 在用户注销后,身份验证令牌不失效的问题。
- CVE-2024-52312 涉及 data.all 经过身份验证的用户可以针对数据集和环境执行受限操作的问题。
- CVE-2024-52313 涉及 data.all 经过身份验证的用户可以获得不正确的对象级授权的问题。
- CVE-2024-52314 涉及 data.all 管理员用户可能通过日志访问生产者存储的潜在敏感数据的问题。
- CVE-2024-10953 涉及 data.all 经过身份验证的用户可以对持久通知记录执行变更更新操作的问题。
参考:
- CVE-2024-52311 GitHub 安全公告
- CVE-2024-52312 GitHub 安全公告
- CVE-2024-52313 GitHub 安全公告
- CVE-2024-52314 GitHub 安全公告
- CVE-2024-10953 GitHub 安全公告
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。