게시일: 2024년 10월 21일 오후 4시(PDT)
Istio 리포지토리용 AWS ALB Route Directive Adapter는 오픈 소스 Kubeflow 프로젝트에 통합된 OIDC 인증 메커니즘을 제공합니다. 어댑터는 인증 시 JWT를 사용하지만 적절한 서명자 및 발급자 검증이 없습니다. ALB 대상이 인터넷 트래픽에 직접 노출되며 보안 모범 사례를 따르지 않는 ALB 배포에서 행위자는 신뢰할 수 없는 엔터티가 서명한 JWT를 제공하여 OIDC 페더레이션 세션을 스푸핑하고 인증을 우회할 수 있습니다.
영향을 받는 버전: v1.0, v1.1
해결 방법
해당 리포지토리/패키지는 수명이 종료되어 더 이상 적극적으로 지원되지 않습니다.
대안
보안 모범 사례로서, ELB 대상(예: EC2 인스턴스, Fargate 태스크 등)에 퍼블릭 IP 주소가 포함되지는 않았는지 확인하세요.
JWT의 서명자 속성을 검증하는 포크된 코드 또는 파생 코드가, 서비스가 사용하도록 구성된 Application Load Balancer의 ARN과 일치하는지 확인하세요.
참고 사항
- ALB 설명서에 따르면, ‘보안을 보장하려면 요청에 따라 권한을 부여하기 전에 서명을 확인하고 JWT 헤더의 서명자 필드에 예상 Application Load Balancer ARN이 포함되어 있는지 확인해야 합니다.’
- Python 예시
- GitHub 보안 공지
- CVE-2024-8901
조정된 취약성 공개 프로세스에서 이 문제에 협력해 주신 Miggo Security 님께 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 이메일(aws-security@amazon.com)을 통해 문의하세요.