TheNote
Flux RSS des derniers bulletin... Note
GooglePlay AppStore

Flux RSS des derniers bulletins AWS

La page web spécifiée d'AWS est consacrée aux bulletins de sécurité. Il s'agit d'une des sources d'information fiables pour la diffusion des dernières annonces de sécurité et des mises à jour. Les bulletins couvrent principalement les conseils de sécurité, les patches hors bande et d'autres mises à jour de sécurité des produits. Ces bulletins permettent aux utilisateurs de rester informés des dernières considérations de sécurité, garantissant que leur infrastructure reste sécurisée et conforme.
Latest Bulletins aws.amazon.com
RSS aws.amazon.com
RSS Hunter RSS Hunter 22 août 2024

Fil de notes

Dépassement de la lecture de tampon lors de la réception de paquets ICMPv6 de taille incorrecte

ID du bulletin : AWS-2025-023 Portée : Contenu AWS Type : Important (nécessite une attention particulière) Date de publication : 2025/10/10 22:15 PDTNous avons identifié les CVE suivantes :CVE-2025-11616 - Dépassement de lecture de tampon lors de la réception de paquets ICMPv6 de certains types de messages dont la taille est inférieure à la taille attendue. CVE-2025-11617 - Dépassement de lecture de tampon lors de la réception d'un paquet IPv6 avec des longueurs de charge utile incorrectes dans l'en-tête du paquet. CVE-2025-11618 - Déréférencement de pointeur non valide lors de la réception d'un paquet UDP/IPv6 avec un champ de version IP incorrect dans l'en-tête du paquet.Description :FreeRTOS-Plus-TCP est une implémentation de pile TCP/IP open source spécialement conçue pour FreeRTOS. La pile fournit une interface de sockets Berkeley standard et prend en charge les protocoles réseau essentiels, notamment IPv6, ARP, DHCP, DNS, LLMNR, mDNS, NBNS, RA, ND, ICMP et ICMPv6.Ces problèmes n'affectent que les applications utilisant IPv6.Versions concernées :v4.0.0 à v4.3.3, si la prise en charge d'IPv6 est activée
Buffer Over-read when receiving improperly sized ICMPv6 packets aws.amazon.com
RSS Hunter RSS Hunter 10 oct. 2025

CVE-2025-11573 - Problème de déni de service dans Amazon.IonDotnet

ID du bulletin : AWS-2025-022 Portée : Amazon Type de contenu : Important (nécessite une attention particulière) Date de publication : 2025/10/09 23:00 PDTDescription :Amazon.IonDotnet est une bibliothèque pour le langage Dotnet qui est utilisée pour lire et écrire des données Amazon Ion.Nous avons identifié CVE-2025-11573, qui décrit un problème de boucle infinie dans les versions de la bibliothèque Amazon.IonDotnetVersions affectées :<1.3.2
CVE-2025-11573 - Denial of Service issue in Amazon.IonDotnet aws.amazon.com
RSS Hunter RSS Hunter 9 oct. 2025

Imitation IMDS

ID du bulletin : AWS-2025-021 Portée : Contenu AWS Type : Important (nécessite une attention particulière) Date de publication : 2025/10/07 13:30 PDTDescription :AWS est au courant d'un problème potentiel d'usurpation d'identité du service de métadonnées d'instance (IMDS) qui pourrait amener les clients à interagir avec des comptes AWS inattendus. IMDS, lorsqu'il est exécuté sur une instance EC2, s'exécute sur une interface réseau de bouclage et vend des informations d'identification de métadonnées d'instance, que les clients utilisent pour interagir avec les services AWS. Ces appels réseau ne quittent jamais l'instance EC2, et les clients peuvent être sûrs que l'interface réseau IMDS se trouve dans le périmètre de données AWS.Lors de l'utilisation des outils AWS (comme l'AWS CLI/SDK ou l'agent SSM) à partir de nœuds de calcul non-EC2, il existe un risque qu'un IMDS contrôlé par un tiers serve des informations d'identification AWS inattendues. Cela nécessite que le nœud de calcul s'exécute sur un réseau où le tiers a une position réseau privilégiée. AWS recommande que lors de l'utilisation des outils AWS en dehors du périmètre de données AWS, les clients suivent les guides d'installation et de configuration (AWS CLI/SDK ou agent SSM) pour s'assurer que ce problème est atténué. Nous vous recommandons également de surveiller les points de terminaison IMDS qui peuvent être en cours d'exécution dans votre environnement sur site afin de prévenir de manière proactive de tels problèmes d'usurpation d'identité par un tiers.Versions concernées :IMDSv1 et IMDSv2
IMDS impersonation aws.amazon.com
RSS Hunter RSS Hunter 8 oct. 2025

CVE-2025-11462 Escalade de privilèges locale du client macOS AWS ClientVPN

Bulletin ID : AWS-2025-020 Portée : AWS Type de contenu : Important (nécessite une attention particulière) Date de publication : 07/10/2025 13:30 PDTDescription :AWS Client VPN est un service VPN géré basé sur un client qui permet un accès sécurisé aux ressources AWS et sur site. Le logiciel client AWS Client VPN s'exécute sur les appareils des utilisateurs finaux, prenant en charge Windows, macOS et Linux, et permet aux utilisateurs finaux d'établir un tunnel sécurisé vers le service AWS Client VPN.Nous avons identifié CVE-2025-11462, un problème dans AWS Client VPN. La version macOS du client VPN AWS manquait de contrôles de validation appropriés sur le répertoire de destination des journaux lors de la rotation des journaux. Cela a permis à un utilisateur non administrateur de créer un lien symbolique à partir d'un fichier journal du client vers un emplacement privilégié (par exemple, Crontab). Le déclenchement d'une API interne avec des entrées arbitraires écrirait alors ces entrées à l'emplacement privilégié lors de la rotation des journaux, permettant une exécution avec des privilèges root. Ce problème n'affecte pas les appareils Windows ou Linux.Versions affectées :Versions du client AWS Client VPN 1.3.2 à 5.2.0
CVE-2025-11462 AWS ClientVPN macOS Client Local Privilege Escalation aws.amazon.com
RSS Hunter RSS Hunter 7 oct. 2025

Amazon Q Developer et Kiro – Problèmes d'injection de prompt dans les plugins Kiro et Q IDE

AWS a identifié des vulnérabilités d'injection de prompt dans Amazon Q Developer et Kiro, détaillées dans de récents articles de blog. Ces problèmes pourraient permettre l'exécution de code à distance et l'exfiltration de secrets. Pour Amazon Q Developer, certaines versions étaient sensibles aux commandes exécutées sans confirmation humaine, y compris celles contenant des caractères invisibles. Les mises à jour des versions 1.22.0 et 1.24.0 du serveur de langage ont introduit la confirmation "Human-in-the-Loop" (HITL) pour ces commandes. Une autre vulnérabilité permettait la fuite de secrets via des requêtes DNS par le biais de suggestions injectées par prompt. AWS Kiro présentait également une vulnérabilité permettant l'exécution de code arbitraire via des instructions injectées. La version 0.1.42 de Kiro était affectée, et les mises à jour exigent désormais une confirmation HITL pour certaines actions. Amazon Q Developer et Kiro sont conçus selon les principes du développement agentique pour accroître l'efficacité. AWS conseille aux clients d'évaluer et de mettre en œuvre des contrôles de sécurité en fonction de leur environnement et du modèle de responsabilité partagée. Des mesures de sécurité telles que le HITL et des politiques d'exécution personnalisables sont en place pour soutenir une adoption sécurisée.
Amazon Q Developer and Kiro – Prompt Injection Issues in Kiro and Q IDE plugins aws.amazon.com
RSS Hunter RSS Hunter 7 oct. 2025

CVE-2025-9039 - Problème avec le serveur d'introspection de l'agent Amazon ECS

"Identifiant de bulletin : AWS-2025-018 Portée : AWS Type de contenu : Important (requiert attention) Date de publication : 14/08/2025 21h15 PDTDescription :Amazon Elastic Container Service (Amazon ECS) est un service d'orchestration de conteneurs entièrement géré qui permet aux clients de déployer, de gérer et de mettre à l'échelle des applications conteneurisées. L'agent de conteneur Amazon ECS fournit une API d'introspection qui fournit des informations sur l'état global de l'agent Amazon ECS et des instances de conteneurs.Nous avons identifié CVE-2025-9039, un problème dans l'agent Amazon ECS. Dans certaines conditions, ce problème pourrait permettre à un serveur d'introspection d'être accédé hors-hôte par une autre instance si les instances sont dans le même groupe de sécurité ou si leurs groupes de sécurité autorisent les connexions entrantes vers le port du serveur d'introspection. Ce problème n'affecte pas les instances où l'option d'accès hors-hôte au serveur d'introspection est définie sur "false".Versions affectées :Versions de l'agent ECS 0.0.3 à 1.97.0"
CVE-2025-9039 - Issue with Amazon ECS agent introspection server aws.amazon.com
RSS Hunter RSS Hunter 14 août 2025

CVE-2025-8904 - Problème avec le composant Agent de secrets d'Amazon EMR

Identifiant de bulletin : AWS-2025-017 Portée : AWS Type de contenu : Important (requiert attention) Date de publication : 13 août 2025 22h00 PDTDescription :Amazon EMR est une plateforme de cluster gérée qui simplifie l'exécution de frameworks de données massives sur AWS pour traiter et analyser de vastes quantités de données.Nous avons identifié CVE-2025-8904, un problème dans le composant Agent Secret d'Amazon EMR. Le composant Agent Secret stocke de manière sécurisée les secrets et les distribue à d'autres composants et applications d'Amazon EMR. Lors de l'utilisation de clusters Amazon EMR avec une ou plusieurs fonctionnalités Lake Formation, Apache Ranger, rôle d'exécution ou Centre d'identité qui utilise ce composant, l'Agent Secret crée un fichier keytab contenant des informations d'authentification Kerberos. Ce fichier est stocké dans le répertoire /tmp/. Un utilisateur ayant accès à ce répertoire et à un autre compte peut potentiellement déchiffrer les clés et accéder à des privilèges plus élevés.Nous avons mis en œuvre une correction qui supprime le répertoire /tmp/ comme répertoire de staging pour les informations d'authentification Kerberos, éliminant ainsi la possibilité pour les utilisateurs d'accéder au fichier keytab. La correction est disponible dans la version 7.5 et supérieure d'Amazon EMR.Versions affectées :Version 6.10 à 7.4 d'Amazon EMR
CVE-2025-8904 - Issue with Amazon EMR Secret Agent component aws.amazon.com
RSS Hunter RSS Hunter 13 août 2025

Problème de vidage de mémoire [redirigé] dans AWS CodeBuild

AWS CodeBuild, un service d'intégration continue, présente une vulnérabilité de sécurité qui permet la modification de code non approuvée. Des chercheurs en sécurité ont découvert qu'une demande de pull request malveillante pouvait entraîner l'extraction de jetons d'accès au référentiel via un dump de mémoire dans l'environnement CodeBuild. Si ces jetons ont des autorisations d'écriture, un attaquant pourrait injecter du code nuisible dans le référentiel. Ce problème affecte toutes les régions AWS où CodeBuild est utilisé. La vulnérabilité a été confirmée avoir été exploitée pour extraire des jetons d'accès pour les référentiels AWS Toolkit pour Visual Studio Code et AWS SDK pour .NET, avec l'attribution de CVE-2025-8217. CodeBuild nécessite des informations d'identification de référentiel pour diverses opérations telles que l'accès au contenu et la création de webhooks. L'obtention de ces informations d'identification pourrait accorder des autorisations élevées aux attaquants. Les clients sont invités à examiner les journaux Git pour détecter des activités suspectes liées aux informations d'identification CodeBuild. AWS a mis en place des protections supplémentaires contre les dumps de mémoire dans les builds de conteneurs en mode non privilégié. Cependant, en raison de la nature des environnements de build qui exécutent du code provenant de contributeurs, AWS recommande fortement contre l'utilisation de builds de demande de pull request automatiques provenant de contributeurs non fiables. Pour les référentiels publics qui doivent prendre en charge des builds automatisés provenant de sources non fiables, l'utilisation de runners GitHub Actions auto-hébergés dans CodeBuild est recommandée, car cette fonctionnalité n'est pas affectée par la vulnérabilité.
[Redirected] Memory Dump Issue in AWS CodeBuild aws.amazon.com
RSS Hunter RSS Hunter 12 août 2025

Mise à jour de sécurité pour l'extension Amazon Q Developer pour Visual Studio Code (Version #1.84)

Portée : AWS Type de contenu : Important (requiert attention) Date de publication : 23/07/2025 18h00 PDTDescription :AWS est conscient d'un problème dans l'extension de développeur Q d'Amazon pour Visual Studio Code (VSC) et l'a résolu. Des chercheurs en sécurité ont signalé une tentative de modification de code non approuvée dans l'extension VSC open-source ciblant l'exécution de commandes CLI du développeur Q. Ce problème n'a affecté aucun service de production ou utilisateur final.Une fois informés de ce problème, nous avons immédiatement révoqué et remplacé les informations d'identification, supprimé le code non approuvé du codebase et publié la version 1.85 de l'extension de développeur Q d'Amazon sur le marché.Version affectée : Extension de développeur Q d'Amazon pour Visual Studio Code (versions 1.84)
Security Update for Amazon Q Developer Extension for Visual Studio Code (Version #1.84) aws.amazon.com
RSS Hunter RSS Hunter 24 juil. 2025

Réf. SSFE-2025-014

Portée : Amazon/AWS Type de contenu : Important (requiert attention) Date de publication : 23/07/2025 8h30 PDTDescription :AWS Client VPN est un service VPN client géré qui permet d'accéder de manière sécurisée aux ressources AWS et sur site. Le logiciel client AWS Client VPN s'exécute sur les appareils des utilisateurs finals, prenant en charge Windows, macOS et Linux, et permet aux utilisateurs finals d'établir un tunnel sécurisé vers le service AWS Client VPN.Nous avons identifié CVE-2025-###, un problème dans AWS Client VPN. Lors de l'installation du client AWS Client VPN sur les appareils Windows, le processus d'installation fait référence à l'emplacement du répertoire C:\usr\local\windows-x86_64-openssl-localbuild\ssl pour récupérer le fichier de configuration OpenSSL. En conséquence, un utilisateur non-administrateur pourrait placer du code arbitraire dans le fichier de configuration. Si un administrateur démarre le processus d'installation du client AWS Client VPN, ce code pourrait être exécuté avec des privilèges de niveau root. Ce problème ne concerne pas les appareils Linux ou Mac.Version affectée : 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1
AWS-2025-014 aws.amazon.com
RSS Hunter RSS Hunter 23 juil. 2025

CVE-2025-6031 - Appariement d'appareil non sécurisé dans la caméra Cloud Cam obsolète d'Amazon

Portée : Amazon Type de contenu : Informatif Date de publication : 12/06/2025 10h30 PDTDescriptionLa caméra de sécurité domestique Amazon Cloud Cam a été dépréciée le 2 décembre 2022, est en fin de vie et n'est plus activement prise en charge.Lorsqu'un utilisateur allume la caméra Amazon Cloud Cam, l'appareil tente de se connecter à une infrastructure de services distante qui a été dépréciée en raison de son statut de fin de vie. L'appareil revient à un statut d'appairage dans lequel un utilisateur arbitraire peut contourner l'épinglage SSL pour lier l'appareil à un réseau arbitraire, permettant l'interception et la modification du trafic réseau.Version affectée : Toutes les versionsRésolution :Ce produit était en fin de vie à compter du 12 décembre 2022 et ne devrait pas être utilisé.Veuillez envoyer un e-mail à [email protected] pour toutes les questions ou préoccupations de sécurité.
CVE-2025-6031 - Insecure device pairing in end-of-life Amazon Cloud Cam aws.amazon.com
RSS Hunter RSS Hunter 12 juin 2025

CVE-2025-5688 - Écriture hors limites dans FreeRTOS-Plus-TCP

FreeRTOS-Plus-TCP est une mise en œuvre de pile TCP/IP open-source conçue pour FreeRTOS, offrant une interface de sockets standard et prenant en charge les protocoles essentiels. Elle propose deux schémas d'allocation de mémoire pour la gestion des mémoires tampons. Une vulnérabilité, CVE-2025-5688, a été identifiée, qui permet d'écrire en dehors des limites lors du traitement des requêtes mDNS ou LLMNR avec des noms de domaine DNS très longs. Ce problème ne concerne que les systèmes utilisant le schéma d'allocation de mémoire 1 avec LLMNR ou mDNS activé. Les versions affectées sont v2.3.4 à v4.3.1 si LLMNR est utilisé avec le schéma d'allocation de mémoire 1, et v4.0.0 à v4.3.1 si mDNS est utilisé avec le schéma d'allocation de mémoire 1. Le problème a été résolu dans la version 4.3.2 de FreeRTOS-Plus-TCP, et il est recommandé de mettre à jour vers la dernière version et de s'assurer que tout code forké ou dérivé est corrigé. Il n'y a pas de contournement pour ce problème. L'Université Purdue a collaboré sur ce problème via le processus de divulgation de vulnérabilité coordonnée. Le problème est référencé comme CVE-2025-5688 et GHSA-5x4f-fvv8-wr65. Toute question ou préoccupation de sécurité peut être envoyée par e-mail à [email protected].
CVE-2025-5688 - Out of Bounds Write in FreeRTOS-Plus-TCP aws.amazon.com
RSS Hunter RSS Hunter 4 juin 2025

CVE-2025-5279 - Problème avec le connecteur Python Amazon Redshift et le plugin BrowserAzureOAuth2CredentialsProvider

Le connecteur Python Amazon Redshift est un connecteur entièrement écrit en Python qui implémente l'API de base de données Python 2.0. Un problème, identifié comme CVE-2025-5279, a été découvert dans le connecteur Python Amazon Redshift, avec les versions 2.0.872 à 2.1.6. Le problème survient lorsque le connecteur est configuré avec le plugin BrowserAzureOAuth2CredentialsProvider, qui ignore la validation du certificat SSL pour le fournisseur d'identité. Cela permet à un acteur d'intercepter le processus d'échange et de récupérer un jeton d'accès. Le problème a été résolu dans la version 2.1.7 du pilote. Les utilisateurs doivent mettre à niveau vers ce nouveau pilote pour résoudre le problème et s'assurer que tout code forké ou dérivé est corrigé. Les versions affectées sont les versions 2.0.872 à 2.1.6. La solution consiste à mettre à niveau vers la version 2.1.7 et à corriger tout code forké ou dérivé. Pour toute question ou préoccupation concernant la sécurité, veuillez envoyer un e-mail à [email protected]. Le problème a été référencé comme CVE-2025-5279 et GHSA-r244-wg5g-6w2r.
CVE-2025-5279 - Issue with Amazon Redshift Python Connector and the BrowserAzureOAuth2CredentialsProvider plugin aws.amazon.com
RSS Hunter RSS Hunter 27 mai 2025

CVE-2025-4318 - Problème de saisie dans les propriétés des composants d'interface utilisateur de AWS Amplify Studio

Le package amplify-codegen-ui d'AWS Amplify Studio, version 2.20.2 et inférieure, contient une vulnérabilité (CVE-2025-4318). Cette vulnérabilité est un problème de validation d'entrée affectant les propriétés des composants d'interface utilisateur. Les acteurs malveillants pourraient injecter du code JavaScript arbitraire lors de la mise en page et de la construction des composants. La vulnérabilité existe en raison de l'absence de validation de propriété de schéma dans la fonction de liaison d'expression. Les utilisateurs authentifiés ayant des privilèges de création/modification de composants sont exposés. Le problème est résolu dans la version 2.20.3. Il est essentiel de mettre à jour vers la version 2.20.3 pour atténuer ce risque. Les utilisateurs devraient également corriger tout code forké ou dérivé. Pour les questions de sécurité, contactez [email protected]. L'identifiant de vulnérabilité est GHSA-hf3j-86p7-mfw8.
CVE-2025-4318 - Input validation issue in AWS Amplify Studio UI component properties aws.amazon.com
RSS Hunter RSS Hunter 5 mai 2025

CVE-2025-3857 - Condition de boucle infinie dans Amazon.IonDotnet

La bibliothèque .NET pour la sérialisation de données Ion, Amazon.IonDotnet, présentait une vulnérabilité (CVE-2025-3857). Cette vulnérabilité provoquait une boucle infinie lors de la désérialisation de données Ion binaires mal formées. Cette boucle infinie entraînait une condition de déni de service. La version affectée était la 1.3.0 et les versions antérieures. La version 1.3.1 inclut un correctif pour cette vulnérabilité. Il est conseillé aux utilisateurs de mettre à jour immédiatement vers la version 1.3.1. Les forks et les codes dérivés nécessitent également un correctif. Symbotic a collaboré à la divulgation de cette vulnérabilité. Le problème est une vulnérabilité de déni de service, et non une violation de données. Pour toute question de sécurité, veuillez contacter [email protected].
CVE-2025-3857 - Infinite loop condition in Amazon.IonDotnet aws.amazon.com
RSS Hunter RSS Hunter 21 avr. 2025

Problème avec AWS SAM CLI (CVE-2025-3047, CVE-2025-3048)

L'interface de ligne de commande du modèle d'application serveurless AWS (AWS SAM CLI) est un outil open-source qui aide les développeurs à créer et à développer des applications Lambda localement en utilisant Docker. Cependant, deux problèmes de sécurité ont été identifiés dans l'AWS SAM CLI, et une correction a été publiée pour les résoudre. Il est recommandé aux utilisateurs de mettre à jour vers la dernière version pour résoudre ces problèmes et s'assurer que tout code dérivé ou forké est corrigé. Le premier problème, CVE-2025-3047, permet à un utilisateur d'accéder à des fichiers privilégiés sur l'hôte en exploitant les autorisations élevées accordées à l'outil lors de l'exécution du processus de construction avec Docker et des liens symboliques. Ce problème affecte les versions AWS SAM CLI <= v1.132.0 et a été résolu dans la version v1.133.0. Pour conserver le comportement précédent, les utilisateurs peuvent utiliser le paramètre '--mount-symlinks'. Le deuxième problème, CVE-2025-3048, permet à un utilisateur d'accéder à des fichiers restreints via des liens symboliques copiés dans le cache de l'espace de travail local. Ce problème affecte les versions AWS SAM CLI <= v1.133.0 et a été résolu dans la version v1.134.0. Après la mise à jour, les utilisateurs doivent reconstruire leurs applications en utilisant la commande 'sam build --use-container' pour mettre à jour les liens symboliques. Les versions affectées sont <= AWS SAM CLI v1.133.0, et la résolution consiste à mettre à jour vers la dernière version et à corriger tout code dérivé ou forké. Le GitHub Security Lab est reconnu pour sa collaboration sur ce problème via le processus de divulgation coordonnée des vulnérabilités.
Issue with AWS SAM CLI (CVE-2025-3047, CVE-2025-3048) aws.amazon.com
RSS Hunter RSS Hunter 31 mars 2025

Problème avec le pilote JDBC RedShift, le connecteur Python et le pilote ODBC - (CVE-2024-12744, CVE-2024-12745, CVE-2024-12746)

Le 23 décembre 2024, AWS a publié un correctif pour le pilote JDBC, le connecteur Python et le pilote ODBC Amazon Redshift afin de résoudre plusieurs problèmes de sécurité. Le pilote JDBC Amazon Redshift version 2.1.0.31 présente une vulnérabilité d'injection SQL dans les API de métadonnées getSchemas, getTables ou getColumns, qui a été corrigée dans la version 2.1.0.32. Le connecteur Python version 2.1.4 présente un problème similaire qui a été résolu dans la version 2.1.5. Le pilote ODBC version 2.1.5.0 présente également un problème d'injection SQL, qui a été résolu dans la version 2.1.6.0. Il est recommandé aux utilisateurs affectés d'effectuer une mise à niveau vers les dernières versions ou de revenir aux versions sécurisées précédentes. Pour le pilote JDBC, les utilisateurs doivent basculer vers la version 2.1.0.32 ou 2.1.0.30. Pour le connecteur Python, les versions 2.1.5 ou 2.1.3 sont recommandées. Les utilisateurs du pilote ODBC doivent passer à la version 2.1.6.0 ou 2.1.4.0. Toute préoccupation ou question relative à la sécurité doit être adressée à [email protected].
Issue with RedShift JDBC Driver, Python Connector and ODBC Driver - (CVE-2024-12744, CVE-2024-12745, CVE-2024-12746) aws.amazon.com
RSS Hunter RSS Hunter 24 déc. 2024

Problème avec DynamoDB local - CVE-2022-1471

Date de publication : 11/12/2024 14h00 (PST)AWS est conscient d'une vulnérabilité (CVE-2022-1471) dans le logiciel SnakeYaml, inclus dans les distributions locales de DynamoDB (jar et Docker) à partir de la version 1.21 et de la version 2.0. Si cette faille était exploitée, elle pourrait permettre à un acteur de exécuter du code à distance en utilisant le constructeur de SnakeYaml, car le logiciel ne restreint pas les types qui peuvent être instanciés pendant la désérialisation. AWS n'a trouvé aucune preuve que cette faille ait été exploitée, mais les clients devraient néanmoins prendre des mesures. Le 6 novembre 2024, nous avons publié une correction pour cette faille. Les clients devraient mettre à jour DynamoDB local vers la dernière version : v1.25.1 et supérieure, ou 2.5.3 et supérieure.Veuillez envoyer un courriel à [email protected] pour toute question ou préoccupation relative à la sécurité.
Issue with DynamoDB local - CVE-2022-1471 aws.amazon.com
RSS Hunter RSS Hunter 11 déc. 2024

Problème avec data.all (Plusieurs CVE)

Data.all est un cadre de développement open-source qui aide les clients à créer un marché de données sur AWS. Le cadre a identifié plusieurs problèmes dans les versions 1.0.0 à 2.6.0. Le 8 novembre 2024, une correction a été publiée et il est recommandé aux clients de passer à la version 2.6.1 ou ultérieure. Les problèmes sont liés à des vulnérabilités de sécurité, notamment la CVE-2024-52311, qui concerne l'invalidation des jetons d'authentification lors de la déconnexion de l'utilisateur. La CVE-2024-52312 permet aux utilisateurs authentifiés d'effectuer des opérations restreintes sur les DataSets et les Environnements. La CVE-2024-52313 concerne des autorisations d'objet incorrectes pour les utilisateurs authentifiés. La CVE-2024-52314 permet aux utilisateurs administrateurs d'accéder à des données sensibles stockées par les producteurs via les journaux. De plus, la CVE-2024-10953 permet aux utilisateurs authentifiés d'effectuer des opérations de mise à jour mutantes sur les enregistrements de notification persistants. Les avis de sécurité pour ces problèmes peuvent être trouvés sur GitHub. Les clients ayant des questions ou des préoccupations en matière de sécurité peuvent envoyer un e-mail à [email protected].
Issue with data.all (Multiple CVEs) aws.amazon.com
RSS Hunter RSS Hunter 9 nov. 2024

CVE-2024-8901 - absence de validation de l'émetteur et du signataire JWT dans aws-alb-route-directive-adapter-for-istio

Une vulnérabilité de sécurité a été découverte dans le référentiel AWS ALB Route Directive Adapter For Istio, qui est intégré au projet Kubeflow. L'adaptateur utilise JWT pour l'authentification, mais ne dispose pas d'une validation appropriée de l'émetteur et du signataire. Cette vulnérabilité peut être exploitée dans des déploiements ALB inhabituels où les points de terminaison sont exposés au trafic Internet, permettant à un acteur de contourner l'authentification en fournissant un JWT signé par une entité non fiable. Les versions affectées sont v1.0 et v1.1. Le référentiel a été déprécié et n'est plus activement pris en charge. En tant que meilleure pratique de sécurité, il est conseillé aux utilisateurs de s'assurer que leurs cibles ELB n'ont pas d'adresses IP publiques. De plus, les utilisateurs doivent valider que l'attribut signataire dans le JWT correspond à l'ARN de l'Application Load Balancer. La documentation ALB fournit des conseils sur la vérification de la signature et la validation du champ signataire dans l'en-tête JWT. La vulnérabilité a été attribuée CVE-2024-8901 et un avis de sécurité GitHub a été publié. Les utilisateurs ayant des questions ou des préoccupations de sécurité sont invités à envoyer un e-mail à [email protected].
CVE-2024-8901 - missing JWT issuer and signer validation in aws-alb-route-directive-adapter-for-istio aws.amazon.com
RSS Hunter RSS Hunter 21 oct. 2024

CVE-2024-10125 - Manque de validation de l'émetteur et du signataire JWT dans aws-alb-identity-aspnetcore

Le référentiel Amazon.ApplicationLoadBalancer.Identity.AspNetCore contient un middleware destiné à être utilisé avec l'intégration OpenId Connect de l'Application Load Balancer dans les déploiements ASP.NET Core. Cependant, le code de gestion des jetons JWT du référentiel présente une vulnérabilité de sécurité, car il ne valide pas l'émetteur et l'identité du signataire du JWT. Cette vulnérabilité peut être exploitée si le propriétaire de l'infrastructure autorise le trafic Internet vers les cibles ALB, permettant à une entité non fiable de signer des jetons JWT et de simuler des sessions OIDC fédérées valides. Toutes les versions du référentiel sont affectées par cette vulnérabilité. Le référentiel a été déprécié et n'est plus activement pris en charge. En tant que meilleure pratique de sécurité, les utilisateurs doivent s'assurer que leurs cibles ELB n'ont pas d'adresses IP publiques. De plus, les utilisateurs doivent valider que l'attribut signataire dans le JWT correspond à l'ARN de l'Application Load Balancer. Cette validation est cruciale pour prévenir les failles de sécurité. La documentation ALB fournit des conseils sur la vérification de la signature et la validation du champ signataire dans l'en-tête JWT. Un CVE a été attribué à cette vulnérabilité, CVE-2024-10125. Les utilisateurs ayant des questions ou des préoccupations de sécurité peuvent envoyer un e-mail à [email protected] pour obtenir de l'aide.
CVE-2024-10125 - missing JWT issuer and signer validation in aws-alb-identity-aspnetcore aws.amazon.com
RSS Hunter RSS Hunter 21 oct. 2024

Problème avec le VPN client AWS - CVE-2024-30164, CVE-2024-30165

Date de publication : 2024/07/16 15:30 PDTAWS est conscient de CVE-2024-30164 et CVE-2024-30165 dans AWS Client VPN. Ces problèmes pourraient potentiellement permettre à un acteur ayant accès à un appareil utilisateur d'escalader jusqu'à une autorisation racine et d'exécuter des commandes arbitraires sur cet appareil. Nous avons résolu ces problèmes sur toutes les plateformes. Les clients utilisant AWS Client VPN devraient mettre à jour vers la version 3.11.1 ou supérieure pour Windows, 3.9.2 ou supérieure pour MacOS, et 3.12.1 ou supérieure pour Linux.Pour de plus amples informations sur la configuration d'AWS Client VPN pour répondre à vos besoins de sécurité et de conformité, veuillez consulter notre guide d'utilisateur "Sécurité dans AWS Client VPN".Nous aimerions remercier Robinhood pour sa collaboration sur ce problème via le processus de divulgation de vulnérabilité coordonnée.Les questions ou les préoccupations liées à la sécurité peuvent être portées à notre attention via [email protected].
Issue with AWS Client VPN - CVE-2024-30164, CVE-2024-30165 aws.amazon.com
RSS Hunter RSS Hunter 22 juil. 2024

Problème avec PyTorch TorchServe - CVE-2024-35198, CVE-2024-35199

Amazon Web Services (AWS) reconnaît des vulnérabilités (CVE-2024-35198 et CVE-2024-35199) dans les versions 0.3.0 à 0.10.0 de PyTorch TorchServe.La vulnérabilité CVE-2024-35198 permet le téléchargement de modèles avec des URL malveillantes, tandis que la vulnérabilité CVE-2024-35199 concerne une liaison de port gRPC non sécurisée.Les clients utilisant les conteneurs d'apprentissage automatique profond (DLC) PyTorch Inference via Amazon SageMaker ou EKS ne sont pas affectés.La version 0.11.0 de TorchServe résout ces problèmes.Les clients peuvent mettre à jour vers la dernière version de TorchServe ou extraire les DLC avec la version corrigée en utilisant les balises d'image fournies.Les vulnérabilités sont corrigées dans les DLC PyTorch 2.2, 2.1 et 1.13.AWS remercie Kroll Cyber Risk pour sa collaboration dans la divulgation des vulnérabilités.Les questions ou les commentaires peuvent être adressés à AWS/Amazon Security via la page de signalement des vulnérabilités ou par courriel.Il est déconseillé de créer des problèmes publics sur GitHub pour cette notification.
Issue with PyTorch TorchServe - CVE-2024-35198, CVE-2024-35199 aws.amazon.com
RSS Hunter RSS Hunter 22 juil. 2024

Problème avec DeepJavaLibrary - CVE-2024-37902

Date de publication : 2024/06/17 10:30 AM PDTAWS est conscient de CVE-2024-37902, qui concerne un problème potentiel avec les utilitaires d'extraction d'archive pour DeepJavaLibrary (DJL). Le 15 mai 2024, nous avons publié la version 0.28.0 pour résoudre ce problème. Si vous utilisez une version affectée (0.1.0 à 0.27.0), nous recommandons de mettre à jour vers la version 0.28.0 ou supérieure.Pour de plus amples informations, veuillez consulter les notes de version de DJL.Les questions ou les préoccupations liées à la sécurité peuvent être portées à notre attention via [email protected].
Issue with DeepJavaLibrary - CVE-2024-37902 aws.amazon.com
RSS Hunter RSS Hunter 17 juin 2024

Problème avec le service d'importation/exportation de machines virtuelles Amazon EC2

Le 12 avril 2024, Amazon a résolu un problème avec le service d'importation/exportation de machines virtuelles EC2 (VMIE) affectant les imports de systèmes d'exploitation Windows. Avant cette date, les fichiers de réponses Sysprep fournis par les clients utilisés lors des imports de machines virtuelles pouvaient créer des fichiers de sauvegarde contenant des données sensibles, accessibles aux utilisateurs ayant l'autorisation d'accéder au fichier d'origine. Les clients sont invités à vérifier des emplacements de fichiers spécifiques pour le fichier de sauvegarde (.vmimport) et à restreindre l'accès ou à le supprimer. Les nouvelles instances EC2 lancées à partir d'AMI affectées seront également affectées, les clients doivent donc les supprimer et réimporter les machines virtuelles en utilisant le service mis à jour ou créer de nouvelles AMI à partir d'instances mises à jour. Aucune action n'est requise pour les utilisateurs qui ont restreint l'accès aux fichiers de réponses avant d'utiliser le service ou qui l'ont utilisé après le 12 avril 2024. AWS remercie Immersive Labs d'avoir signalé le problème. Pour les préoccupations de sécurité, contactez [email protected].
Issue with Amazon EC2 VM Import Export Service aws.amazon.com
RSS Hunter RSS Hunter 11 juin 2024

Problème avec le framework de déploiement AWS - CVE-2024-37293

Date de publication : 2024/06/11 09:00 AM PDTAWS est conscient des problèmes décrits dans CVE-2024-37293, liés au cadre de déploiement open-source AWS (ADF). Ces problèmes affectent le processus de démarrage responsable du déploiement des piles de démarrage ADF pour faciliter les déploiements multi-comptes et multi-régions. Le processus de démarrage ADF repose sur des privilèges élevés pour accomplir cette tâche. Deux versions du processus de démarrage existent ; un pipeline de modification de code utilisant AWS CodeBuild et une machine d'état pilotée par événement utilisant AWS Lambda. Si un acteur a les autorisations pour modifier le comportement du projet CodeBuild ou de la fonction Lambda, il pourrait accroître ses privilèges. Nous avons résolu ce problème dans la version 4.0 et les versions ultérieures. Nous recommandons aux clients de mettre à jour vers la dernière version dès que possible pour aider à assurer la défense en profondeur.En tant que mesure de mitigation temporaire, nous recommandons d'ajouter une limite de permissions aux rôles créés par ADF dans le compte de gestion. La limite de permissions doit refuser toutes les actions IAM et STS. Cette limite de permissions doit être en place jusqu'à ce que vous mettiez à jour ADF ou que vous lanciez un nouveau compte. Tant que la limite de permissions est en place, la gestion de compte et la mise en service des comptes ne peuvent pas créer, mettre à jour ou assumer des rôles. Cela atténue le risque d'élévation de privilèges, mais également désactive la capacité d'ADF à créer, gérer et mettre en service des comptes.Nous aimerions remercier l'Université de Xidian pour avoir signalé ce problème de manière responsable à AWS.Les questions ou les préoccupations liées à la sécurité peuvent être portées à notre attention via [email protected].
Issue with AWS Deployment Framework - CVE-2024-37293 aws.amazon.com
RSS Hunter RSS Hunter 11 juin 2024

Réponse d'AWS au rapport du CSRB de mars 2024

Date de publication : 19/04/2024 09h00 AM PDTAWS est conscient d'un récent rapport du Cyber Safety Review Board (CSRB) concernant un problème de Microsoft Online Exchange en 2023. Nous ne sommes pas affectés par les problèmes décrits dans ce rapport et aucune action de la part des clients n'est requise.Chez AWS, la sécurité est notre priorité absolue. Chaque client AWS bénéficie du fait que nous avons l'expérience opérationnelle la plus importante de tout fournisseur de cloud. Nous avons conçu AWS dès sa fondation pour qu'il soit la manière la plus sécurisée pour nos clients de faire tourner leurs charges de travail, et nous avons construit notre culture interne autour de la sécurité en tant qu'impératif commercial. La sécurité du cloud AWS est unique et différenciée par notre technologie, notre culture et nos pratiques.Pour en savoir plus, veuillez vous référer à notre article de blog « Comment la culture unique de sécurité chez AWS fait la différence ».
AWS Response to March 2024 CSRB report aws.amazon.com
RSS Hunter RSS Hunter 19 avr. 2024

CVE-2024-28056

Date de publication : 15/04/2024 07h00 PSTAWS est conscient de CVE-2024-28056, qui affecte les versions de l'interface de ligne de commande Amplify antérieures à 12.10.1 et Amplify Studio, qui utilise l'interface de ligne de commande Amplify. Nous avons publié une correction pour l'interface de ligne de commande Amplify le 10 janvier 2024 qui a également corrigé Amplify Studio, et nous recommandons aux clients de mettre à niveau vers l'interface de ligne de commande Amplify 12.10.1 ou une version ultérieure pour résoudre ce problème. Nous avons communiqué proactivement avec les clients utilisant les versions affectées.AWS a pris deux mesures supplémentaires pour protéger les clients utilisant Amplify contre les mauvaises configurations involontaires. Premièrement, AWS a ajouté une mesure d'atténuation au service de jetons de sécurité AWS (STS) où les tentatives de prise en compte d'un rôle inter-comptes avec une politique de confiance faisant référence à Amazon Cognito comme principal de confiance, sans conditions pour restreindre l'accès à des pools d'identité Amazon Cognito spécifiques en utilisant la revendication aud, échoueront. En conséquence, l'accès inter-comptes ne sera plus possible avec des politiques créées par des versions non corrigées antérieures d'Amplify. Deuxièmement, AWS a ajouté une mesure d'atténuation au plan de contrôle de l'identité et de l'accès AWS (IAM) de telle sorte que toute tentative de créer une politique de confiance de rôle faisant référence à Amazon Cognito comme principal de confiance, sans ajouter des conditions pour restreindre l'accès, échouera.Nous tenons à remercier Datadog d'avoir divulgué de manière responsable ce problème à AWS.Veuillez envoyer un courriel à [email protected] pour toute question ou préoccupation de sécurité.
CVE-2024-28056 aws.amazon.com
RSS Hunter RSS Hunter 16 avr. 2024

CVE-2024-3094

Date de publication : 2024/03/29 12:30 PM PST Identifiant CVE : CVE-2024-3094AWS est conscient de CVE-2024-3094, qui affecte les versions 5.6.0 et 5.6.1 du paquet xz-utils. Ce problème peut essayer d'introduire des vulnérabilités de sécurité dans openssh en utilisant liblzma dans certains environnements de système d'exploitation. Les clients d'Amazon Linux ne sont pas affectés par ce problème et aucune action n'est requise. L'infrastructure et les services AWS n'utilisent pas le logiciel affecté et ne sont pas touchés. Les utilisateurs de Bottlerocket ne sont pas affectés.Les clients utilisant d'autres systèmes d'exploitation sont invités à se référer aux informations fournies par le vendeur du système d'exploitation pour répondre à tout souci provenant de ce problème signalé.Les questions ou les préoccupations liées à la sécurité peuvent être portées à notre attention via [email protected].
CVE-2024-3094 aws.amazon.com
RSS Hunter RSS Hunter 29 mars 2024

CVE-2024-21626 - Problème de conteneur Runc

CVE-2024-21626 affecte le composant runc dans les systèmes de gestion de conteneurs. La plupart des services AWS ont publié des mises à jour ou patcheront automatiquement les systèmes affectés.Les utilisateurs d'Amazon Linux doivent appliquer les mises à jour disponibles pour Amazon Linux 1, 2 et 2023. Les utilisateurs de Bottlerocket recevront une mise à jour de runc dans la prochaine version Bottlerocket 1.19.0.Les clients d'ECS peuvent mettre à jour vers les dernières AMI ou effectuer une commande « yum update —security » pour appliquer le correctif. Les utilisateurs d'EKS peuvent mettre à niveau les groupes de nœuds, les nœuds Karpenter ou les nœuds de travail autogérés.EKS Fargate appliquera automatiquement le correctif aux nouveaux pods à partir du 1er février 2024. Les pods existants doivent être supprimés après le 2 février 2024 pour recevoir le correctif.EKS Anywhere fournit des images mises à jour avec le runtime corrigé. Les clients peuvent mettre à niveau les clusters pour utiliser ces images.Les utilisateurs d'AWS Elastic Beanstalk peuvent appliquer des mises à jour de plateforme ou mettre à niveau la version de plateforme de leur environnement. Les utilisateurs de Finch doivent mettre à niveau leur installation macOS vers la dernière version.L'AMI Deep Learning Amazon Linux 2 consommera automatiquement les dernières mises à jour de runc. Les clients Batch utilisant l'AMI de l'environnement de calcul par défaut doivent la remplacer par la dernière version.Les ressources SageMaker créées ou redémarrées après le 2 février 2024 utiliseront automatiquement le runc corrigé. Les points de terminaison d'inférence SageMaker Live seront automatiquement corrigés d'ici le 7 février 2024.
CVE-2024-21626 - Runc container issue aws.amazon.com
RSS Hunter RSS Hunter 3 févr. 2024

Problème avec IAM pour prendre en charge plusieurs appareils MFA

Un problème récemment signalé dans la prise en charge multi-MFA d'AWS pour les utilisateurs IAM pourrait survenir lorsque l'utilisateur IAM possède des informations d'identification d'accès à long terme, a le privilège d'ajouter une MFA sans l'utiliser et a des privilèges d'accès configurés pour augmenter après l'ajout d'une MFA. Dans ces conditions, la possession de la clé d'accès et de la clé secrète seule était équivalente à avoir à la fois les informations d'identification et une MFA configurée. Le problème provenait d'une combinaison de la nouvelle fonctionnalité multi-MFA et de l'auto-gestion des appareils MFA par les utilisateurs IAM avec un accès restreint avant d'ajouter une MFA. Le problème n'affectait pas l'accès basé sur la console de gestion AWS ou les principaux fédérés. À compter du 21 avril 2023, le problème a été résolu en obligeant les utilisateurs IAM avec des MFA existantes à utiliser des informations d'identification temporaires obtenues via sts:GetSessionToken et une MFA existante pour gérer leurs appareils MFA à l'aide des informations d'identification de clé d'accès et de clé secrète. AWS a notifié les clients affectés et leur a recommandé de confirmer la correction de leurs configurations MFA. Le problème a été identifié et divulgué de manière responsable par des chercheurs de MWR Cybersec.
Issue With IAM Supporting Multiple MFA Devices aws.amazon.com
RSS Hunter RSS Hunter 25 avr. 2023