Das Repository Amazon.ApplicationLoadBalancer.Identity.AspNetCore enthält Middleware für die Verwendung mit der Application Load Balancer OpenId Connect-Integration in ASP.NET Core-Bereitstellungen. Allerdings hat der JWT-Handling-Code im Repository ein Sicherheitsproblem, da er den JWT-Issuer und die Signer-Identität nicht validiert. Dieses Sicherheitsproblem kann ausgenutzt werden, wenn der Infrastruktur-Besitzer Internet-Verkehr zu den ALB-Zielen zulässt, was einem unvertrauenswürdigen Akteur ermöglicht, JWTs zu signieren und gültige OIDC-föderierte Sitzungen zu imitieren. Alle Versionen des Repositorys sind von diesem Sicherheitsproblem betroffen. Das Repository ist veraltet und wird nicht länger aktiv unterstützt. Als Sicherheitsbest-Practice sollten Benutzer sicherstellen, dass ihre ELB-Ziele keine öffentlichen IP-Adressen haben. Darüber hinaus sollten Benutzer validieren, dass das Signer-Attribut im JWT dem ARN des Application Load Balancer entspricht. Diese Validierung ist entscheidend, um Sicherheitsverletzungen zu verhindern. Die ALB-Dokumentation bietet Anleitung zum Überprüfen der Signatur und Validieren des Signer-Felds im JWT-Header. Ein CVE wurde diesem Sicherheitsproblem zugewiesen, CVE-2024-10125. Benutzer mit Sicherheitsfragen oder -bedenken können sich an [email protected] wenden, um Hilfe zu erhalten.