Date de publication : 21/10/2024 à 16 h 00 (heure du Pacifique)
Le référentiel AWS ALB Route Directive Adapter For Istio fournit un mécanisme d’authentification OIDC qui a été intégré au projet open source Kubeflow. L’adaptateur utilise JWT pour l’authentification, mais ne permet pas de valider correctement le signataire et l’émetteur. Dans des déploiements d’ALB qui ignorent les meilleures pratiques de sécurité et dans lesquels les cibles ALB sont directement exposées au trafic Internet, un acteur peut fournir un JWT signé par une entité non approuvée afin d’usurper des sessions OIDC fédérées et de réussir à contourner l’authentification.
Versions affectées : v1.0, v1.1
Résolution
Le référentiel/package est devenu obsolète, est en fin de vie et n’est plus activement pris en charge.
Solutions de contournement
En tant que bonne pratique de sécurité, assurez-vous que vos cibles ELB (par exemple, les instances EC2, les tâches Fargate, etc.) ne possèdent pas d’adresses IP publiques.
Assurez-vous que tout code dupliqué ou dérivé valide que l’attribut du signataire dans le JWT correspond à l’ARN de l’Application Load Balancer que le service est configuré pour utiliser.
Références
- Documentation ALB, en particulier « Pour garantir la sécurité, vous devez vérifier la signature avant de procéder à toute autorisation sur la base des revendications et valider que le champ du signataire dans l’en-tête JWT contient l’ARN d’Application Load Balancer attendu. »
- Exemple Python
- Avis de sécurité GitHub
- CVE-2024-8901
Nous tenons à remercier Miggo Security pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation.
Envoyez un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.