Дата публикации: 2024/06/11 09:00 AM PDTAWS знает о проблемах, описанных в CVE-2024-37293, связанных с открытым исходным кодом AWS Deployment Framework (ADF). Эти проблемы касаются процесса инициализации, который отвечает за развертывание стека инициализации ADF для многоуровневых развертываний в разных регионах. Процесс инициализации ADF использует повышенные привилегии для выполнения этой задачи. Существуют две версии процесса инициализации; изменение кода, управляемое конвейером с помощью AWS CodeBuild, и управляемый событиями автомат, использующий AWS Lambda. Если актор имеет разрешения на изменение поведения проекта CodeBuild или функции Lambda, то он сможет повысить свои привилегии. Мы решили эту проблему в версии 4.0 и выше. Мы рекомендуем клиентам обновиться до последней версии как можно скорее, чтобы обеспечить глубину защиты.Временно мы рекомендуем добавить границы разрешений для ролей, создаваемых ADF в управляющей учетной записи. Границы разрешений должны запрещать все действия IAM и STS. Эта граница разрешений должна быть в силе до тех пор, пока вы не обновите ADF или не инициализируете новый счет. При наличии границы разрешений управление учетными записями и инициализация счетов не могут создавать, обновлять или принимать на себя роли. Это уменьшает риск повышения привилегий, но также отключает способность ADF создавать, управлять и инициализировать счета.Мы хотели бы поблагодарить Университет Сидянь за ответственное раскрытие этой проблемы AWS.Вопросы или беспокойства по поводу безопасности могут быть направлены к нам по адресу [email protected].