発行日: 2024 年 10 月 21 日 午後 4 時 (PDT)
AWS ALB Route Directive Adapter For Istio リポジトリは、オープンソースの Kubeflow プロジェクトに統合された OIDC 認証メカニズムを提供します。アダプターは認証のために JWT を使用しますが、署名者と発行者の適切な検証が欠如しています。ALB のターゲットが直接インターネットトラフィックにさらされるような、セキュリティのベストプラクティスを無視した ALB のデプロイでは、行為者は、信頼されていないエンティティによって署名された JWT を提供し、OIDC フェデレーテッドセッションを偽装して認証をバイパスすることができます。
影響を受けるバージョン: v1.0、v1.1
解決方法
リポジトリ/パッケージは非推奨にされており、サポートが終了し、アクティブにサポートされなくなりました。
回避策
セキュリティのベストプラクティスとして、ELB ターゲット (EC2 インスタンス、Fargate タスクなど) でパブリック IP アドレスが使用されないようにしてください。
JWT の署名者属性が、サービスが使用するように設定されている Application Load Balancer の ARN と一致することを、フォークコードまたは派生コードが検証するようにしてください。
参考情報
- ALB ドキュメント (具体的には、「セキュリティを確保するには、クレームに基づいて認可を行う前に署名を検証し、JWT ヘッダーの署名者フィールドに、想定される Application Load Balancer ARN が含まれていることを検証する必要があります」。)
- Python の例
- GitHub セキュリティアドバイザリ
- CVE-2024-8901
協調的開示プロセスを通じてこの問題に協力してくださった Miggo Security に感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。