Data de publicação: 8/11/2024 16h00 PDT
O data.all é uma estrutura de desenvolvimento de código aberto para ajudar os clientes a criar um mercado de dados na AWS.
Identificamos os seguintes problemas no data.all das versões 1.0.0 a 2.6.0. Em 8 de novembro de 2024, lançamos uma correção e recomendamos que os clientes atualizem para a versão 2.6.1 ou posterior e garantam que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
- O CVE-2024-52311 está relacionado a um problema em que o data.all não invalida o token de autenticação após o logout do usuário.
- O CVE-2024-52312 está relacionado a um problema em que usuários autenticados do data.all podem realizar operações restritas em conjuntos de dados e ambientes.
- O CVE-2024-52313 está relacionado a um problema em que usuários autenticados do data.all podem obter autorizações incorretas no nível do objeto.
- O CVE-2024-52314 está relacionado a um problema em que o usuário administrador do data.all pode acessar dados potencialmente confidenciais armazenados pelos produtores por meio de logs.
- O CVE-2024-10953 está relacionado a um problema em que usuários autenticados do data.all podem realizar operações de atualização mutáveis em registros de notificação persistentes.
Referências:
- CVE-2024-52311 Aviso de segurança do GitHub
- CVE-2024-52312 Aviso de segurança do GitHub
- CVE-2024-52313 Aviso de segurança do GitHub
- CVE-2024-52314 Aviso de segurança do GitHub
- CVE-2024-10953 Aviso de segurança do GitHub
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.