Data di pubblicazione iniziale: 14/06/2023 16:30 PDT

Un ricercatore ha recentemente segnalato un problema nel Servizio di directory AWS che avrebbe consentito ai principali IAM del cliente, autorizzati a chiamare l'API "EnableRoleAccess", di abilitare l'accesso ai ruoli all'utente della directory, anche senza disporre dell'autorizzazione "iam:passrole". Questo problema specifico si verificherebbe solo se il principale IAM chiamante disponesse delle autorizzazioni per chiamare l'API "EnableRoleAccess" e fosse limitato all'account del cliente.

Il problema è stato risolto applicando il requisito dell'autorizzazione IAM "iam:passrole" per abilitare l'accesso ai ruoli, in aggiunta al requisito delle autorizzazioni IAM per chiamare l'API "EnableRoleAccess". I clienti che hanno utilizzato la policy suggerita per la funzionalità, non sarebbero stati interessati da questo problema, pertanto non è richiesta alcuna azione da parte del cliente.

Vorremmo ringraziare Cloudar Security per aver divulgato responsabilmente questo problema e aver collaborato con noi alla sua risoluzione. È possibile inviare domande o segnalare dubbi relativi alla sicurezza all'indirizzo e-mail aws-security@amazon.com.