佈告欄 ID：2026-002-AWS
範圍： AWS
內容類型： 資訊
發布日期：2026 年 1 月 15 日上午 07:03 (太平洋標準時間)
 

描述：

某個安全研究團隊發現了一個組態問題，此問題影響下列由 AWS 管理的開放原始碼 GitHub 儲存庫，可能導致引入不當的程式碼：

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

具體而言，研究人員發現上述儲存庫為 AWS CodeBuild Webhook 篩選器所設定的規則表達式 (旨在限制可信執行者 ID) 並不完善，讓一個可預測取得的執行者 ID 能夠獲取受影響儲存庫的管理許可。我們可以確認，此問題僅為用於上述儲存庫的 Webhook 執行者 ID 篩選器中的設定錯誤，只會影響特定專案，而非 CodeBuild 服務本身的問題。研究人員謹慎地示範了向一個儲存庫提交不當程式碼的過程，並隨即向 AWS 安全團隊通報了他們的研究活動及其潛在負面影響。

在此次安全研究活動期間，沒有任何不當程式碼引入到任何受影響的儲存庫中，且這些活動未對任何 AWS 客戶環境造成影響，也未影響任何 AWS 服務或基礎結構。客戶不需採取任何動作。

AWS 立即針對研究團隊通報的所有問題展開調查，並已完成修復。針對已識別儲存庫因規則表達式不完善而導致執行者 ID 篩選器被繞過的核心問題，已在最初揭露後的 48 小時內得到緩解。我們亦已實施額外強化措施，包括憑證輪換，以及針對建置流程中記憶體內的 GitHub 權杖與其他各類憑證加強防護。

此外，AWS 稽核了所有其他由 AWS 管理的開放原始碼 GitHub 儲存庫，確保在 AWS 所有開放原始碼專案中均不存在此類設定錯誤。最後，AWS 稽核了那些公開建置儲存庫的日誌及相關的 CloudTrail 日誌，並確認沒有其他執行者曾藉機利用上述的漏洞。

本次研究進一步強調，針對 AWS CodeBuild 環境執行稽核至關重要，以確保任何基於 ACTOR_ID 篩選器的存取控制都經過適當的範圍限定和設定，且僅限允許清單內的身分進行操作。除了 AWS 文件中的其他安全最佳實務外，運用 CodeBuild 的提取請求建置政策功能也是針對 CI/CD 安全問題的一項額外縱深防禦機制。

參考資料：

• 在 AWS CodeBuild 中使用 Webhook 的最佳實務
• 提取請求評論核准

致謝：

在此特別感謝 Wiz Security 研究團隊發現此問題，並秉持負責任的態度與我們合作，共同確保 AWS 客戶持續得到保護且處於安全狀態。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。