CVE-2024-8901 - Fehlende JWT-Issuer- und Signer-Validierung in aws-alb-route-directive-adapter-for-istio

Ein Sicherheitsfehler wurde im AWS ALB Route Directive Adapter For Istio-Repository entdeckt, das in das Kubeflow-Projekt integriert ist. Der Adapter verwendet JWT für die Authentifizierung, aber verfügt nicht über eine ordnungsgemäße Überprüfung des Signers und des Ausstellers. Diese Schwachstelle kann in ungewöhnlichen ALB-Bereitstellungen ausgenutzt werden, in denen Endpunkte dem Internetverkehr ausgesetzt sind, sodass ein Angreifer die Authentifizierung umgehen kann, indem er ein JWT von einer nicht vertrauenswürdigen Entität signiert. Die betroffenen Versionen sind v1.0 und v1.1. Das Repository wurde veraltet und wird nicht mehr aktiv unterstützt. Als Sicherheitsbest-Practice wird den Benutzern empfohlen, sicherzustellen, dass ihre ELB-Ziele keine öffentlichen IP-Adressen haben. Darüber hinaus sollten die Benutzer überprüfen, ob das Attribut "signer" im JWT mit der ARN der Application Load Balancer übereinstimmt. Die ALB-Dokumentation bietet Anleitungen zur Überprüfung der Signatur und zur Validierung des Signer-Felds im JWT-Header. Die Schwachstelle wurde als CVE-2024-8901 klassifiziert und ein GitHub-Sicherheitsbericht wurde veröffentlicht. Benutzer mit Sicherheitsfragen oder -bedenken werden gebeten, aws-security@amazon.com zu kontaktieren.