發布日期:2024/10/21 4:00 PM PDT

AWS ALB Route Directive Adapter For Istio 儲存庫提供了一個 OIDC 身分驗證機制,該機制已整合到開放原始碼 Kubeflow 專案中。該介面卡使用 JWT 進行身分驗證,但缺少適當的簽署者和發行者驗證。在忽視安全最佳實務的 ALB 部署中,ALB 目標會直接暴露於網際網路流量中,而意圖不軌者可以提供由不可信實體簽署的 JWT,以偽造 OIDC 聯合的工作階段並成功繞過身分驗證。

受影響的版本:v1.0、v1.1

解決方案

該儲存庫/套件已遭停用,生命週期已結束,並且不再受到主動支援。

解決方法

作為安全最佳實務,確保 ELB 目標 (例如 EC2 執行個體、Fargate 任務等) 沒有公用 IP 位址。

確保任何分叉或衍生程式碼都驗證 JWT 中的簽署者屬性是否與該服務經設定使用的 Application Load Balancer ARN 相符。

參考資料

我們誠摯感謝 Miggo Security 透過充分協調的披露程序,與我們協作解決此問題。

如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com