Date de publication : 21/10/2024 à 16 h 00 (heure du Pacifique)
Description :
Le référentiel Amazon.ApplicationLoadBalancer.Identity.AspNetCore contient un intergiciel qui peut être utilisé conjointement avec l’intégration OpenId Connect d’Application Load Balancer (ALB) et dans n’importe quel scénario de déploiement ASP.NET Core, notamment AWS Fargate, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Compute Cloud (Amazon EC2) et AWS Lambda. Dans le code de gestion JWT, il effectue la validation de la signature, mais ne parvient pas à valider l’identité de l’émetteur et du signataire du JWT. L’omission du signataire, si elle est combinée à un scénario dans lequel le propriétaire de l’infrastructure autorise le trafic Internet vers les cibles ALB (configuration non recommandée), peut permettre la signature JWT par une entité non approuvée, et un acteur peut être en mesure d’imiter des sessions à fédération OIDC valides vers les cibles ALB.
Versions concernées : toutes les versions
Résolution
Le référentiel/package est devenu obsolète, est en fin de vie et n’est plus activement pris en charge.
Solutions de contournement
En tant que bonne pratique de sécurité, assurez-vous que vos cibles ELB (par exemple, les instances EC2, les tâches Fargate, etc.) ne possèdent pas d’adresses IP publiques.
Assurez-vous que tout code dupliqué ou dérivé valide que l’attribut du signataire dans le JWT correspond à l’ARN de l’Application Load Balancer que le service est configuré pour utiliser.
Références
- Documentation ALB, en particulier « Pour garantir la sécurité, vous devez vérifier la signature avant de procéder à toute autorisation sur la base des revendications et valider que le champ du signataire dans l’en-tête JWT contient l’ARN d’Application Load Balancer attendu. »
- Exemple Python
- Avis de sécurité GitHub
- CVE-2024-10125
Nous tenons à remercier Miggo Security pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation.
Envoyez un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.