게시일: 2024년 11월 8일 오후 4시(PDT)
Data.all은 고객이 AWS에서 데이터 마켓플레이스를 구축할 수 있도록 지원하는 오픈 소스 개발 프레임워크입니다.
data.all 버전 1.0.0~2.6.0에서 다음과 같은 문제가 확인되었습니다. 2024년 11월 8일에 수정 사항을 릴리스했으며, 고객에게 버전 2.6.1 이상으로 업그레이드하고 포크된 코드 또는 파생 코드를 패치하여 새 수정 사항을 통합할 것을 권장합니다.
- CVE-2024-52311은 사용자가 로그아웃할 때 data.all이 인증 토큰을 무효화하지 않는 문제와 관련이 있습니다.
- CVE-2024-52312는 사용자가 데이터세트 및 환경에서 제한된 작업을 수행할 수 있도록 data.all이 인증하는 문제와 관련이 있습니다.
- CVE-2024-52313은 사용자가 잘못된 객체 수준 인증을 받을 수 있도록 data.all이 인증하는 문제와 관련이 있습니다.
- CVE-2024-52314는 개발자가 로그를 통해 저장한 잠재적으로 민감한 데이터에 사용자가 액세스할 수 있도록 data.all이 관리하는 문제와 관련이 있습니다.
- CVE-2024-10953은 사용자가 지속적인 알림 기록을 변형 업데이트할 수 있도록 data.all이 인증하는 문제와 관련이 있습니다.
참고 사항:
- CVE-2024-52311 GitHub 보안 공지
- CVE-2024-52312 GitHub 보안 공지
- CVE-2024-52313 GitHub 보안 공지
- CVE-2024-52314 GitHub 보안 공지
- CVE-2024-10953 GitHub 보안 공지
보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com으로 문의하세요.