Date de publication initiale : 14/06/2023 16 h 30 PDT
Un chercheur a récemment signalé un problème dans AWS Directory Service qui aurait permis aux principaux IAM du client, autorisés à appeler l'API « EnableRoleAccess », d'activer l'accès au rôle sur l'utilisateur du répertoire même si ce principal IAM ne disposait pas de l'autorisation « iam:passrole ». Ce problème spécifique ne se produirait que si le principal IAM appelant était autorisé à appeler l'API « EnableRoleAccess » et qu'il était limité au compte du client.
Le problème a été résolu en imposant l'obligation de disposer de l'autorisation IAM « iam:passrole » afin de permettre l'accès au rôle, en plus des autorisations IAM pour appeler l'API « EnableRoleAccess ». Les clients qui utilisent la politique recommandée pour cette fonctionnalité ne seraient pas affectés par ce problème et aucune action client n'est requise.
Nous tenons à remercier Cloudar Security pour la divulgation responsable de ce problème et sa collaboration à sa résolution. Les questions ou préoccupations liées à la sécurité peuvent nous être adressées à l'adresse suivante : aws-security@amazon.com.