CVE-2024-28056

게시일: 2024/04/15 07:00 AM PST AWS는 Amplify CLI 버전 12.10.1 이전과 Amplify Studio에서 영향을 받는 CVE-2024-28056에 대해 알고 있습니다. 2024년 1월 10일에 Amplify CLI에 대한 수정을 출시하여 Amplify Studio도 수정했으며 고객에게 Amplify CLI 12.10.1 이상으로 업그레이드하여 이 문제를 해결할 것을 권장합니다. 영향을 받는 버전을 사용하는 고객에게도 적극적으로 연락했습니다. AWS는 Amplify를 사용하는 고객을 보호하기 위해 추가적인 두 가지 조치를 취했습니다. 첫째, AWS는 AWS Security Token Service (STS)에서 Amazon Cognito를 신뢰하는 주인으로 참조하는 신뢰 정책을 생성하는 모든 시도에서, 특정 Amazon Cognito Identity Pools에 대한 액세스를 범위로 좁히는 조건이 없는 경우 액세스가 실패하게 됩니다. 따라서 이전의 패치되지 않은 Amplify 버전에서 생성된 정책으로는 크로스-계정 액세스가 더 이상 가능하지 않습니다. 둘째, AWS는 AWS Identity and Access Management (IAM) 제어 평면에서 Amazon Cognito를 신뢰하는 주인으로 참조하는 역할 신뢰 정책을 생성하려는 모든 시도에서, 액세스를 제한하는 조건을 추가하지 않는 경우 액세스가 실패하게 됩니다. Datadog이 AWS에 이 문제를 책임감 있게 보고해준 것에 감사합니다. 어떤 보안 질문이나 우려 사항이 있으면 aws-security@amazon.com으로 이메일을 보내 주세요.