Date de publication : 8/11/2024 à 16 h 00 (heure du Pacifique)
Data.all est un framework de développement open source destiné à aider les clients à créer une place de marché de données sur AWS.
Nous avons identifié les problèmes suivants dans les versions 1.0.0 à 2.6.0 de data.all. Le 8 novembre 2024, nous avons publié un correctif et nous recommandons aux clients de passer à la version 2.6.1 ou à une version ultérieure et de s’assurer que tout code dupliqué ou dérivé est corrigé pour incorporer les nouveaux correctifs.
- CVE-2024-52311 concerne un problème où data.all n’invalide pas le jeton d’authentification lors de la déconnexion de l’utilisateur.
- CVE-2024-52312 concerne un problème à cause duquel les utilisateurs authentifiés de data.all peuvent effectuer des opérations restreintes sur des jeux de données et des environnements.
- CVE-2024-52313 concerne un problème à cause duquel les utilisateurs authentifiés de data.all peuvent obtenir des autorisations incorrectes au niveau de l’objet.
- CVE-2024-52314 concerne un problème à cause duquel l’utilisateur administrateur de data.all peut accéder à des données potentiellement sensibles stockées par les producteurs via des journaux.
- CVE-2024-10953 concerne un problème à cause duquel les utilisateurs authentifiés de data.all peuvent effectuer des opérations de mise à jour mutantes sur les enregistrements de notification persistants.
Références :
- Avis de sécurité GitHub CVE-2024-52311
- Avis de sécurité GitHub CVE-2024-52312
- Avis de sécurité GitHub CVE-2024-52313
- Avis de sécurité GitHub CVE-2024-52314
- Avis de sécurité GitHub CVE-2024-10953
Envoyez un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.