Data di pubblicazione: 21/10/2024 alle ore 16:00 PDT
Il repository AWS ALB Route Directive Adapter For Istio fornisce un meccanismo di autenticazione OIDC integrato nel progetto open source Kubeflow. L'adattatore utilizza JWT per l'autenticazione, ma manca della corretta convalida del firmatario e dell'emittente. Nelle implementazioni di ALB che ignorano le migliori pratiche di sicurezza, in cui gli obiettivi ALB sono direttamente esposti al traffico Internet, un attore può fornire un JWT firmato da un'entità non attendibile per falsificare le sessioni federate OIDC e bypassare con successo l'autenticazione.
Versioni interessate: v1.0, v1.1
Risoluzione
Il repository/pacchetto è stato dichiarato obsoleto, è alla fine del ciclo di vita e non è più supportato attivamente.
Soluzioni alternative
Come best practice di sicurezza, assicurati che i tuoi obiettivi ELB (ad esempio istanze EC2, Fargate Task ecc.) non abbiano indirizzi IP pubblici.
Assicurati che qualsiasi codice derivato o di cui hai eseguito il fork convalidi che l'attributo signer nel JWT corrisponda all'ARN dell'Application Load Balancer che il servizio è configurato per utilizzare.
Riferimenti
- Documentazione ALB, in particolare “Per garantire la sicurezza, è necessario verificare la firma prima di effettuare qualsiasi autorizzazione in base alle affermazioni e convalidare che il campo del firmatario nell'intestazione JWT contenga l'ARN Application Load Balancer previsto”.
- Esempio di Python
- GitHub Security Advisory
- CVE-2024-8901
Desideriamo ringraziare Miggo Security per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata.
Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.