Date de publication : 2024/06/11 09:00 AM PDTAWS est conscient des problèmes décrits dans CVE-2024-37293, liés au cadre de déploiement open-source AWS (ADF). Ces problèmes affectent le processus de démarrage responsable du déploiement des piles de démarrage ADF pour faciliter les déploiements multi-comptes et multi-régions. Le processus de démarrage ADF repose sur des privilèges élevés pour accomplir cette tâche. Deux versions du processus de démarrage existent ; un pipeline de modification de code utilisant AWS CodeBuild et une machine d'état pilotée par événement utilisant AWS Lambda. Si un acteur a les autorisations pour modifier le comportement du projet CodeBuild ou de la fonction Lambda, il pourrait accroître ses privilèges. Nous avons résolu ce problème dans la version 4.0 et les versions ultérieures. Nous recommandons aux clients de mettre à jour vers la dernière version dès que possible pour aider à assurer la défense en profondeur.En tant que mesure de mitigation temporaire, nous recommandons d'ajouter une limite de permissions aux rôles créés par ADF dans le compte de gestion. La limite de permissions doit refuser toutes les actions IAM et STS. Cette limite de permissions doit être en place jusqu'à ce que vous mettiez à jour ADF ou que vous lanciez un nouveau compte. Tant que la limite de permissions est en place, la gestion de compte et la mise en service des comptes ne peuvent pas créer, mettre à jour ou assumer des rôles. Cela atténue le risque d'élévation de privilèges, mais également désactive la capacité d'ADF à créer, gérer et mettre en service des comptes.Nous aimerions remercier l'Université de Xidian pour avoir signalé ce problème de manière responsable à AWS.Les questions ou les préoccupations liées à la sécurité peuvent être portées à notre attention via [email protected].