CVE-2024-8901 - absence de validation de l'émetteur et du signataire JWT dans aws-alb-route-directive-adapter-for-istio

Une vulnérabilité de sécurité a été découverte dans le référentiel AWS ALB Route Directive Adapter For Istio, qui est intégré au projet Kubeflow. L'adaptateur utilise JWT pour l'authentification, mais ne dispose pas d'une validation appropriée de l'émetteur et du signataire. Cette vulnérabilité peut être exploitée dans des déploiements ALB inhabituels où les points de terminaison sont exposés au trafic Internet, permettant à un acteur de contourner l'authentification en fournissant un JWT signé par une entité non fiable. Les versions affectées sont v1.0 et v1.1. Le référentiel a été déprécié et n'est plus activement pris en charge. En tant que meilleure pratique de sécurité, il est conseillé aux utilisateurs de s'assurer que leurs cibles ELB n'ont pas d'adresses IP publiques. De plus, les utilisateurs doivent valider que l'attribut signataire dans le JWT correspond à l'ARN de l'Application Load Balancer. La documentation ALB fournit des conseils sur la vérification de la signature et la validation du champ signataire dans l'en-tête JWT. La vulnérabilité a été attribuée CVE-2024-8901 et un avis de sécurité GitHub a été publié. Les utilisateurs ayant des questions ou des préoccupations de sécurité sont invités à envoyer un e-mail à aws-security@amazon.com.