発行日: 2024 年 10 月 21 日 午後 4 時 (PDT)
説明:
Amazon.ApplicationLoadBalancer.Identity.AspNetCore リポジトリには、Application Load Balancer (ALB) OpenId Connect 統合と組み合わせて使用できるミドルウェアが含まれており、AWS Fargate、Amazon Elastic Kubernetes Service (Amazon EKS)、Amazon Elastic Container Service (Amazon ECS)、Amazon Elastic Compute Cloud (Amazon EC2)、AWS Lambda などのあらゆる ASP.NET Core デプロイのシナリオで使用できます。JWT 処理コードでは、署名の検証を実行しますが、JWT 発行者と署名者の ID の検証に失敗します。署名者の省略は、インフラストラクチャの所有者が ALB ターゲットに対するインターネットトラフィックを許可する (このような設定は推奨されていません) シナリオと組み合わさると、信頼されていないエンティティによる JWT 署名を可能にする場合があり、行為者は ALB ターゲットに対する有効な OIDC フェデレーテッドセッションを模倣できる可能性があります。
影響を受けるバージョン: すべてのバージョン
解決方法
リポジトリ/パッケージは非推奨にされており、サポートが終了し、アクティブにサポートされなくなりました。
回避策
セキュリティのベストプラクティスとして、ELB ターゲット (EC2 インスタンス、Fargate タスクなど) でパブリック IP アドレスが使用されないようにしてください。
JWT の署名者属性が、サービスが使用するように設定されている Application Load Balancer の ARN と一致することを、フォークコードまたは派生コードが検証するようにしてください。
参考情報
- ALB ドキュメント (具体的には、「セキュリティを確保するには、クレームに基づいて認可を行う前に署名を検証し、JWT ヘッダーの署名者フィールドに、想定される Application Load Balancer ARN が含まれていることを検証する必要があります」。)
- Python の例
- GitHub セキュリティアドバイザリ
- CVE-2024-10125
協調的開示プロセスを通じてこの問題に協力してくださった Miggo Security に感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。