發布日期:2024 年 6 月 11 日上午 09:00 (太平洋夏令時間)
AWS 瞭解到與開放原始碼 AWS 部署框架 (ADF) 相關的問題,如 CVE-2024-37293 中所述。這些問題會影響啟動程序,這些啟動程序負責部署 ADF 的啟動堆疊以進行多帳戶跨區域部署。ADF 啟動程序需要提升的權限來執行此工作。啟動程序有兩個版本:使用 AWS CodeBuild 的程式碼變更驅動管道,以及使用 AWS Lambda 的事件驅動狀態機器。如果某個角色具有變更 CodeBuild 項目或 Lambda 函數的行為的許可,他們將能夠提升自己的權限。我們已在 4.0 版本及更高版本中解決此問題。我們建議客戶立即升級至最新版本,以妥善確保深度防禦。
作為暫時緩解措施,我們建議將許可界限新增至由 ADF 在管理帳戶中建立的角色。許可界限應拒絕所有 IAM 和 STS 動作。在您升級 ADF 或啟動新帳戶之前,該許可界限應就位。當許可界限就位時,帳戶管理和帳戶啟動將無法建立、更新或擔任角色。這可以降低權限提升風險,但也會停用 ADF 建立、管理和啟動帳戶的功能。
我們誠摯感謝西安電子科技大學負責任地向 AWS 揭露此問題。
有關安全性的問題或疑慮可以透過 aws-security@amazon.com 告知我們。