CVE-2024-28056

公開日：2024/04/15 07:00 AM PST AWSは、Amplify CLIのバージョン12.10.1以前とAmplify Studioが影響を受けるCVE-2024-28056について認識しています。Amplify CLIの修正版が2024年1月10日にリリースされ、Amplify Studioもこの問題を解決しました。影響を受けるバージョンの顧客と連絡し、Amplify CLI 12.10.1以上にアップグレードすることをお勧めします。 AWSは、Amplifyを使用する顧客が誤った設定を避けるために、2つの追加的な措置を講じました。まず、AWS Security Token Service (STS)で、Amazon Cognitoが信頼された主体としての信頼ポリシーを持つクロスアカウントロールの仮想が、特定のAmazon Cognito Identity Poolsに対するアクセスをスコープダウンする条件がなく、失敗します。この結果、以前のパッチが適用されていないAmplifyのバージョンで作成されたポリシーを使用したクロスアカウントアクセスは、もう許可されません。次に、AWS Identity and Access Management (IAM)の制御プレーンで、Amazon Cognitoが信頼された主体としてのロール信頼ポリシーを作成しようとする試みが、制限の条件が追加されていない場合、失敗します。 DatadogがAWSにこの問題を責任を持って報告してくれたことに感謝します。 AWSのセキュリティに関する質問や懸念については、aws-security@amazon.comまでメールでお問い合わせください。