発行日: 2024 年 11 月 8 日 午後 4 時 (PDT)
data.all は、お客様が AWS でデータマーケットプレイスを構築する際に役立つオープンソース開発フレームワークです。
当社では、data.all バージョン 1.0.0〜2.6.0 内で、次の問題を確認しました。2024 年 11 月 8 日、当社は修正をリリースしました。お客様にはバージョン 2.6.1 以降にアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を組み込むことをお勧めします。
- CVE-2024-52311 は、ユーザーのログアウト時に data.all が認証トークンを無効にしない問題に関するものです。
- CVE-2024-52312 は、data.all の認証されたユーザーがデータセットと環境に対して制限付き操作を実行できるという問題に関するものです。
- CVE-2024-52313 は、data.all の認証されたユーザーが誤ったオブジェクトレベルの承認を取得できるという問題に関するものです。
- CVE-2024-52314 は、data.all 管理者ユーザーが、プロデューサーによって保存された潜在的に機密性の高いデータにログ経由でアクセスする可能性がある問題に関するものです。
- CVE-2024-10953 は、data.all の認証されたユーザーが、永続的な通知レコードに対して変更可能な更新操作を実行できる問題に関するものです。
参考情報:
- CVE-2024-52311 GitHub セキュリティアドバイザリ
- CVE-2024-52312 GitHub セキュリティアドバイザリ
- CVE-2024-52313 GitHub セキュリティアドバイザリ
- CVE-2024-52314 GitHub セキュリティアドバイザリ
- CVE-2024-10953 GitHub セキュリティアドバイザリ
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。