Veröffentlichungsdatum: 21.10.2024, 16:00 Uhr PDT
Das Repository AWS ALB Route Directive Adapter For Istio bietet einen OIDC-Authentifizierungsmechanismus, der in das Open-Source-Kubeflow-Projekt integriert wurde. Der Adapter verwendet JWT für die Authentifizierung, ohne dass jedoch der Unterzeichner und der Aussteller ordnungsgemäß validiert werden. In ALB-Bereitstellungen, bei denen Best Practices für die Sicherheit nicht beachtet werden, sodass ALB-Ziele direkt dem Internetverkehr ausgesetzt sind, kann ein Akteur ein von einer nicht vertrauenswürdigen Entität signiertes JWT bereitstellen, um OIDC-Verbundsitzungen zu fälschen und die Authentifizierung zu umgehen.
Betroffene Versionen: v1.0, v1.1
Lösung
Das Repository/Paket ist veraltet, hat das Ende seines Lebenszyklus erreicht und wird nicht mehr aktiv unterstützt.
Umgehungslösungen
Vergewissern Sie sich aus Sicherheitsgründen, dass Ihre ELB-Ziele (z. B. EC2-Instances, Fargate-Aufgaben usw.) keine öffentlichen IP-Adressen haben.
Stellen Sie sicher, dass jeder abgezweigte oder abgeleitete Code bestätigt, dass das Unterzeichnerattribut im JWT mit dem ARN des Application Load Balancers übereinstimmt, für dessen Verwendung der Dienst konfiguriert ist.
Referenzen
- In der ALB-Dokumentation heißt es ausdrücklich: „Um die Sicherheit zu gewährleisten, müssen Sie die Signatur überprüfen, bevor Sie eine Autorisierung auf der Grundlage der Ansprüche vornehmen, und überprüfen, ob das Unterzeichnerfeld im JWT-Header den erwarteten ARN des Application Load Balancers enthält.“
- Python-Beispiel
- GitHub-Sicherheitshinweis
- CVE-2024-8901
Wir möchten Miggo Security für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Offenlegungsprozesses danken.
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.