CVE-2024-8901 - aws-alb-route-directive-adapter-for-istio での JWT 発行者と署名者検証の欠如

AWS ALB ルート ディレクティブ アダプター For Istio リポジトリでセキュリティの脆弱性が発見されました。このアダプターは Kubeflow プロジェクトに統合されています。アダプターは認証に JWT を使用していますが、適切な署名者と発行者の検証が欠けています。この脆弱性は、エンドポイントがインターネット トラフィックに公開されている ALB の展開で悪用できます。アクターは、信頼できないエンティティによって署名された JWT を提供することで認証を回避できます。影響を受けるバージョンは v1.0 と v1.1 です。このリポジトリは非推奨となり、現在はアクティブにサポートされていません。セキュリティのベスト プラクティスとして、ユーザーは ELB ターゲットにパブリック IP アドレスがないことを確認する必要があります。さらに、ユーザーは、JWT の署名者属性が Application Load Balancer の ARN と一致することを検証する必要があります。ALB ドキュメントでは、署名の検証と JWT ヘッダーの署名者フィールドの検証に関するガイダンスが提供されています。この脆弱性は CVE-2024-8901 に割り当てられ、GitHub セキュリティ アドバイザリが公開されています。セキュリティに関する質問や懸念があるユーザーは、aws-security@amazon.com にメールでお問い合わせください。