Fecha de publicación inicial: 14/06/2023 4:30 p.m. PDT
Hace poco, un investigador informó de un problema en AWS Directory Service que habría permitido a las entidades principales de IAM del cliente (que pueden llamar a la API "EnableRoleAccess") habilitar el acceso a los roles en el usuario del directorio, incluso si esa entidad principal de IAM no tenía el permiso "iam:passrole". Este problema específico solo se produciría si la entidad principal de IAM que llama tuviese permisos para llamar a la API "EnableRoleAccess" y estaría limitado a la cuenta del cliente.
El problema se solucionó imponiendo el requisito de tener el permiso "iam:passrole" de IAM para permitir el acceso a los roles, además de tener permisos de IAM para llamar a la API "EnableRoleAccess". Los clientes que utilizaran la política recomendada para la característica no se habrían visto afectados por este problema y no es necesario que el cliente tome ninguna medida.
Nos gustaría agradecer a Cloudar Security por revelar este problema de manera responsable y por trabajar con nosotros para resolverlo. Puede plantearnos preguntas o dudas relacionadas con la seguridad a través de aws-security@amazon.com.