發布日期:2024/10/21 4:00 PM PDT
AWS ALB Route Directive Adapter For Istio 儲存庫提供了一個 OIDC 身分驗證機制,該機制已整合到開放原始碼 Kubeflow 專案中。該介面卡使用 JWT 進行身分驗證,但缺少適當的簽署者和發行者驗證。在忽視安全最佳實務的 ALB 部署中,ALB 目標會直接暴露於網際網路流量中,而意圖不軌者可以提供由不可信實體簽署的 JWT,以偽造 OIDC 聯合的工作階段並成功繞過身分驗證。
受影響的版本:v1.0、v1.1
解決方案
該儲存庫/套件已遭停用,生命週期已結束,並且不再受到主動支援。
解決方法
作為安全最佳實務,確保 ELB 目標 (例如 EC2 執行個體、Fargate 任務等) 沒有公用 IP 位址。
確保任何分叉或衍生程式碼都驗證 JWT 中的簽署者屬性是否與該服務經設定使用的 Application Load Balancer ARN 相符。
參考資料
- ALB 文件特別指出「為了確保安全性,您必須在根據聲明進行任何授權之前驗證簽章,確保 JWT 標頭中的簽章者欄位包含預期的 Application Load Balancer ARN。」
- Python 範例
- GitHub 安全建議
- CVE-2024-8901
我們誠摯感謝 Miggo Security 透過充分協調的披露程序,與我們協作解決此問題。
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。