発行日: 2024 年 6 月 11 日 午前 9 時 PDT
AWS は、CVE-2024-37293 で説明されているオープンソースの AWS Deployment Framework (ADF) に関する問題を認識しています。これらの問題は、マルチアカウントのクロスリージョンデプロイを容易にする ADF のブートストラップスタックをデプロイするブートストラッププロセスに影響します。ADF ブートストラッププロセスは、このタスクを実行するために昇格された権限に依存します。ブートストラッププロセスには、AWS CodeBuild を使用するコード変更駆動のパイプラインと、AWS Lambda を使用するイベント駆動のステートマシンの 2 つのバージョンがあります。これらは、アクターに CodeBuild プロジェクトまたは Lambda 関数の動作を変更するアクセス許可がある場合に、それぞれの権限を昇格できるようになります。この問題は、バージョン 4.0 以降で対処されています。最新バージョンに今すぐアップグレードして、多層防御を確保できるようにすることをお勧めします。
一時的な緩和策としては、管理アカウントの内 ADF が作成したロールにアクセス許可の境界を追加することをお勧めします。アクセス許可の境界では、すべての IAM アクションと STS アクションを拒否する必要があります。このアクセス許可の境界は、ADF をアップグレードするか、新しいアカウントをブートストラップするまで、そのまま維持しておくようにしてください。アクセス許可の境界が設定されている間、アカウント管理とアカウントのブートストラップはロールを作成、更新、または引き受けることができません。この緩和策は権限昇格リスクを軽減しますが、ADF がアカウントを作成、管理、ブートストラップする機能も無効化します。
この問題について AWS に責任ある開示を行った西安電子科技大学に感謝します。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までお問い合わせください。