Data de publicação inicial: 14/06/2023 16h30 PDT
Recentemente, um pesquisador relatou um problema no AWS Directory Service que permitiria que entidades principais do IAM do cliente, que podem chamar a API “EnableRoleAccess”, habilitassem o acesso à função no usuário do diretório, mesmo que a entidade principal do IAM não tivesse a permissão “iam:passrole”. Esse problema específico só ocorreria se a entidade principal do IAM chamador tivesse permissão para chamar a API “EnableRoleAccess” e estivesse limitada à conta do cliente.
O problema foi solucionado aplicando a exigência de ter a permissão “iam:passrole” do IAM para permitir o acesso à função, além de ter permissões do IAM para chamar a API “EnableRoleAccess”. Os clientes que usam a política recomendada para o recurso não teriam sido afetados por esse problema e nenhuma ação do cliente é necessária.
Gostaríamos de agradecer à Cloudar Security por divulgar esse problema com responsabilidade e trabalhar conosco em sua resolução. Envie dúvidas ou preocupações sobre segurança para aws-security@amazon.com.