Идентификатор бюллетеня: 2026-002-AWS Область применения: AWS Тип контента: Информационный Дата публикации: 2026/01/15 07:03 AM PSTОписание:Команда исследователей безопасности выявила проблему с конфигурацией, затрагивающую следующие управляемые AWS репозитории GitHub с открытым исходным кодом, которая могла привести к внедрению ненадлежащего кода: - aws-sdk-js-v3 - aws-lc - amazon-corretto-crypto-provider - awslabs/open-data-registryВ частности, исследователи выявили, что настроенные регулярные выражения вышеуказанных репозиториев для фильтров вебхуков AWS CodeBuild, предназначенных для ограничения доверенных идентификаторов акторов, были недостаточными, что позволяло предсказуемо полученному идентификатору актора получать административные разрешения для затронутых репозиториев. Мы можем подтвердить, что это были специфичные для проекта ошибки конфигурации в фильтрах идентификаторов акторов вебхуков для этих репозиториев, а не проблема в самой службе CodeBuild. Исследователи тщательно продемонстрировали возможность внесения ненадлежащего кода, посредством пустого коммита кода, в один репозиторий и оперативно проинформировали службу безопасности AWS об их исследовательской деятельности и ее потенциальном негативном воздействии.Никакой ненадлежащий код не был внесен ни в один из затронутых репозиториев в ходе этой исследовательской деятельности по безопасности, продемонстрированный пустой коммит кода в один репозиторий не оказал никакого влияния на какие-либо среды клиентов AWS и не повлиял на какие-либо службы или инфраструктуру AWS. Никаких действий со стороны клиентов не требуется.Пожалуйста, обратитесь к статье ниже для получения самой актуальной и полной информации, относящейся к этому бюллетеню безопасности AWS.