Veröffentlichungsdatum: 21.10.2024, 16:00 Uhr PDT
Beschreibung:
Das Repository Amazon.ApplicationLoadBalancer.Identity.AspNetCore enthält Middleware, die in Verbindung mit der OpenID-Connect-Integration von Application Load Balancer (ALB) sowie in jedem ASP.NET-Core-Bereitstellungsszenario verwendet werden kann, einschließlich AWS Fargate, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Compute Cloud (Amazon EC2) und AWS Lambda. Im JWT-Verarbeitungscode erfolgt eine Signaturvalidierung, die Identität des JWT-Ausstellers und des Unterzeichners wird jedoch nicht überprüft. Das Auslassen des Unterzeichners kann in einem Szenario, in dem der Infrastruktureigentümer Internetverkehr zu den ALB-Zielen zulässt (keine empfohlene Konfiguration), JWT-Signaturen durch nicht vertrauenswürdige Entitäten ermöglichen. Möglicherweise wären Akteure dann in der Lage, gültige OIDC-Verbundsitzungen für die ALB-Ziele nachzuahmen.
Betroffene Versionen: alle Versionen
Lösung
Das Repository/Paket ist veraltet, hat das Ende seines Lebenszyklus erreicht und wird nicht mehr aktiv unterstützt.
Umgehungslösungen
Vergewissern Sie sich aus Sicherheitsgründen, dass Ihre ELB-Ziele (z. B. EC2-Instances, Fargate-Aufgaben usw.) keine öffentlichen IP-Adressen haben.
Stellen Sie sicher, dass jeder abgezweigte oder abgeleitete Code bestätigt, dass das Unterzeichnerattribut im JWT mit dem ARN des Application Load Balancers übereinstimmt, für dessen Verwendung der Dienst konfiguriert ist.
Referenzen
- In der ALB-Dokumentation heißt es ausdrücklich: „Um die Sicherheit zu gewährleisten, müssen Sie die Signatur überprüfen, bevor Sie eine Autorisierung auf der Grundlage der Ansprüche vornehmen, und überprüfen, ob das Unterzeichnerfeld im JWT-Header den erwarteten ARN des Application Load Balancers enthält.“
- Python-Beispiel
- GitHub-Sicherheitshinweis
- CVE-2024-10125
Wir möchten Miggo Security für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Offenlegungsprozesses danken.
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.