公開日: 2024年6月11日 09:00 AM PDTAWSは、オープンソースのAWS Deployment Framework (ADF) に関連するCVE-2024-37293で説明されている問題について認識しています。これらの問題は、マルチアカウントのクロスリージョン展開を容易にするために、ADFのブートストラップスタックを展開する責任があるブートストラッププロセスに影響します。ADFのブートストラッププロセスは、このタスクを実行するために権限を高めることを依存しています。ブートストラッププロセスの2つのバージョンがあります。AWS CodeBuildを使用するコード変更ドリブンのパイプラインと、AWS Lambdaを使用するイベントドリブンのステートマシンです。アクターがCodeBuildプロジェクトまたはLambda関数の動作を変更する権限を持っている場合、権限を高めることができます。私たちは、この問題をバージョン4.0以上で解決しました。顧客は、防御の深さを確保するために、すぐに最新バージョンにアップグレードすることをお勧めします。一時的な緩和策として、管理アカウントでADFによって作成されたロールに権限境界を追加することをお勧めします。権限境界は、すべてのIAMとSTSアクションを拒否する必要があります。この権限境界は、ADFをアップグレードするか、新しいアカウントをブートストラップするまでに存在する必要があります。権限境界が存在する間は、アカウント管理とアカウントのブートストラップは、ロールを作成、更新、またはアサインすることができません。これは、権限の昇格のリスクを緩和しますが、ADFのアカウントを作成、管理、ブートストラップする能力も無効にします。私たちは、責任ある方法でこの問題をAWSに公開した西安電子科技大学に感謝します。セキュリティ関連の質問や懸念は、[email protected]に連絡してください。