發布日期:2024/11/8 4:00 PM PDT
Data.all 是一個開放原始碼開發框架,可協助客戶在 AWS 上建立資料市集。
我們在 data.all 版本 1.0.0 至 2.6.0 中發現以下問題。2024 年 11 月 8 日,我們發布了修正程序,並建議客戶升級到 2.6.1 或更高版本,並確保任何分叉或衍生代碼都已修補以包含新的修正程序。
- CVE-2024-52311 涉及使用者登出時 data.all 不會使驗證令牌失效的問題。
- CVE-2024-52312 涉及經過 data.all 驗證的使用者都可以對資料集和環境執行受限制操作的問題。
- CVE-2024-52313 涉及經過 data.all 驗證的使用者都可以取得不正確的物件層級授權的問題。
- CVE-2024-52314 涉及 data.all 管理員使用者可以透過日誌存取由生產者儲存的潛在敏感資料的問題。
- CVE-2024-10953 涉及經過 data.all 驗證的使用者可以對持續的通知記錄執行變化更新操作的問題。
參考資料:
- CVE-2024-52311 GitHub 安全建議
- CVE-2024-52312 GitHub 安全建議
- CVE-2024-52313 GitHub 安全建議
- CVE-2024-52314 GitHub 安全建議
- CVE-2024-10953 GitHub 安全建議
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。