CVE-2024-28056

Дата публикации: 2024/04/15 07:00 AM PST AWS знает о CVE-2024-28056, который затрагивает версии Amplify CLI до 12.10.1 и Amplify Studio, который использует Amplify CLI. Мы выпустили исправление для Amplify CLI 10 января 2024 года, которое также исправило Amplify Studio, и рекомендуем клиентам обновиться до Amplify CLI 12.10.1 или выше, чтобы устранить эту проблему. Мы заранее связались с клиентами, использующими затронутые версии. AWS предприняла два дополнительных шага для защиты клиентов, использующих Amplify от непреднамеренных неправильных конфигураций. Во-первых, AWS добавила смягчение в AWS Security Token Service (STS), где попытки сделать предположение роли между учетными записями с доверенной политикой, ссылающейся на Amazon Cognito в качестве доверенного принципала, без условий для ограничения доступа к конкретным пулам идентификаторов Amazon Cognito с помощью утверждения aud, будут завершены неудачно. В результате доступ между учетными записями больше не будет возможен с политиками, созданными более ранними неисправленными версиями Amplify. Во-вторых, AWS добавила смягчение в плоскости управления AWS Identity and Access Management (IAM), так что любая попытка создать политику доверия роли, ссылающуюся на Amazon Cognito в качестве доверенного принципала, без добавления условий, ограничивающих доступ, будет завершена неудачно. Мы хотим поблагодарить Datadog за ответственное раскрытие этой проблемы AWS. Пожалуйста, отправьте электронное письмо на aws-security@amazon.com с любыми вопросами или проблемами безопасности.