CVE-2024-28056

Date de publication : 15/04/2024 07h00 PST AWS est conscient de CVE-2024-28056, qui affecte les versions de l'interface de ligne de commande Amplify antérieures à 12.10.1 et Amplify Studio, qui utilise l'interface de ligne de commande Amplify. Nous avons publié une correction pour l'interface de ligne de commande Amplify le 10 janvier 2024 qui a également corrigé Amplify Studio, et nous recommandons aux clients de mettre à niveau vers l'interface de ligne de commande Amplify 12.10.1 ou une version ultérieure pour résoudre ce problème. Nous avons communiqué proactivement avec les clients utilisant les versions affectées. AWS a pris deux mesures supplémentaires pour protéger les clients utilisant Amplify contre les mauvaises configurations involontaires. Premièrement, AWS a ajouté une mesure d'atténuation au service de jetons de sécurité AWS (STS) où les tentatives de prise en compte d'un rôle inter-comptes avec une politique de confiance faisant référence à Amazon Cognito comme principal de confiance, sans conditions pour restreindre l'accès à des pools d'identité Amazon Cognito spécifiques en utilisant la revendication aud, échoueront. En conséquence, l'accès inter-comptes ne sera plus possible avec des politiques créées par des versions non corrigées antérieures d'Amplify. Deuxièmement, AWS a ajouté une mesure d'atténuation au plan de contrôle de l'identité et de l'accès AWS (IAM) de telle sorte que toute tentative de créer une politique de confiance de rôle faisant référence à Amazon Cognito comme principal de confiance, sans ajouter des conditions pour restreindre l'accès, échouera. Nous tenons à remercier Datadog d'avoir divulgué de manière responsable ce problème à AWS. Veuillez envoyer un courriel à aws-security@amazon.com pour toute question ou préoccupation de sécurité.