발행일: 2024년 6월 11일 09:00 AM PDTAWS는 오픈 소스 AWS 배포 프레임워크(ADF)와 관련된 CVE-2024-37293에 설명된 문제를 인지하고 있습니다. 이 문제는 다중 계정 및 다중 지역 배포를 용이하게 하기 위해 ADF의 부트스트랩 스택을 배포하는 책임이 있는 부트스트랩 프로세스에 영향을 미칩니다. ADF 부트스트랩 프로세스는 이 작업을 수행하기 위해 권한을 상승시킵니다. 부트스트랩 프로세스의 두 가지 버전이 있습니다. 하나는 AWS CodeBuild를 사용하는 코드 변경 기반 파이프라인이고, 다른 하나는 AWS Lambda를 사용하는 이벤트 기반 상태 머신입니다. 사용자가 CodeBuild 프로젝트 또는 Lambda 함수의 동작을 변경할 수 있는 권한을 가지고 있다면, 권한을 상승시킬 수 있습니다. 우리는 버전 4.0 이상에서 이 문제를 해결했습니다. 고객은 방어의 깊이를 보장하기 위해 즉시 최신 버전으로 업그레이드하는 것을 권장합니다.일시적인 완충책으로, 우리는 관리 계정에서 ADF가 생성한 역할에 권한 경계를 추가하는 것을 권장합니다. 권한 경계는 모든 IAM 및 STS 동작을 거부해야 합니다. 이 권한 경계는 ADF를 업그레이드하거나 새로운 계정을 부트스트랩할 때까지 유지되어야 합니다. 권한 경계가 있는 동안, 계정 관리 및 계정 부트스트랩은 역할을 생성, 업데이트 또는 가정할 수 없습니다. 이는 권한 상승 위험을 완충하지만, ADF의 계정 생성, 관리 및 부트스트랩 기능을 비활성화합니다.우리는 이 문제를 책임감 있게 공개한 시안 대학에 감사드립니다.보안 관련 질문이나 우려 사항은 [email protected]을 통해 문의할 수 있습니다.