CVE-2024-8901 - отсутствует проверка издателя и подписанта JWT в aws-alb-route-directive-adapter-for-istio

Была обнаружена уязвимость безопасности в репозитории адаптера директив маршрутизации AWS ALB для Istio, который интегрирован в проект Kubeflow. Адаптер использует JWT для аутентификации, но не имеет надлежащей валидации подписчика и издателя. Эта уязвимость может быть эксплуатирована в необычных развертываниях ALB, где конечные точки экспонируются в интернет-трафик, позволяя актору обойти аутентификацию, предоставляя JWT, подписанный недоверенным лицом. Затронутые версии - v1.0 и v1.1. Репозиторий был устарел и больше не поддерживается активно. В качестве лучшей практики безопасности пользователям рекомендуется убедиться, что их цели ELB не имеют общедоступных IP-адресов. Кроме того, пользователи должны проверять, что атрибут подписчика в JWT соответствует ARN Application Load Balancer. Документация ALB предоставляет руководство по проверке подписи и валидации поля подписчика в заголовке JWT. Уязвимость была присвоена CVE-2024-8901, и был опубликован GitHub Security Advisory. Пользователи с вопросами или опасениями по безопасности рекомендуется отправлять электронное письмо на aws-security@amazon.com.