Veröffentlichungsdatum: 8.11.2024, 16:00 Uhr PDT
Data.all ist ein Open-Source-Entwicklungsframework, das Kunden beim Aufbau eines Datenmarktplatzes in AWS unterstützt.
In den Versionen 1.0.0 bis 2.6.0 von data.all haben wir die folgenden Probleme festgestellt. Am 8. November 2024 haben wir einen Bugfix veröffentlicht. Wir empfehlen Kunden, auf Version 2.6.1 oder höher zu aktualisieren und sicherzustellen, dass jeder abgezweigte oder abgeleitete Code gepatcht ist, damit die neuen Bugfixes integriert werden.
- CVE-2024-52311 betrifft ein Problem, bei dem data.all das Authentifizierungstoken bei der Benutzerabmeldung nicht ungültig macht.
- CVE-2024-52312 betrifft ein Problem, bei dem von data.all authentifizierte Benutzer eingeschränkte Operationen mit DataSets und Environments ausführen können.
- CVE-2024-52313 betrifft ein Problem, bei dem von data.all authentifizierte Benutzer falsche Autorisierungen auf Objektebene erhalten können.
- CVE-2024-52314 betrifft ein Problem, bei dem ein data.all-Adminbenutzer über Protokolle auf potenziell sensible Daten zugreifen kann, die von Produzenten gespeichert werden.
- CVE-2024-10953 betrifft ein Problem, bei dem von data.all authentifizierte Benutzer mutierende Aktualisierungsvorgänge für persistente Benachrichtigungsdatensätze ausführen können.
Referenzen:
- CVE-2024-52311 GitHub-Sicherheitshinweis
- CVE-2024-52312 GitHub-Sicherheitshinweis
- CVE-2024-52313 GitHub-Sicherheitshinweis
- CVE-2024-52314 GitHub-Sicherheitshinweis
- CVE-2024-10953 GitHub-Sicherheitshinweis
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.