One Article Review
| Source |  Vuln AWS |
|---|---|
| Identifiant | 8345543 |
| Date de publication | 2023-06-14 23:59:16 (vue: 2023-06-15 01:05:55) |
| Titre | Problème avec AWS Directory Service EnableRoLeaccess Issue with AWS Directory Service EnableRoleAccess |
| Texte | Date de publication initiale: 14/06/2023 4:30 PM PDT
Un chercheur a récemment signalé un problème dans AWS Directory Service qui aurait permis à IAM Principal \\ de Customer \\, qui est autorisé à appeler l'API «CléableRoleAccess», pour permettre l'accès au rôle sur l'utilisateur de l'annuaire même si ce directeur IAM faisaitpas l'autorisation «iam: passrole».Ce problème spécifique ne se produirait que si le directeur d'appel IAM avait des autorisations d'appeler l'API «INABLEROLEACCES» et serait limitée au compte du client.
La question a été corrigée en appliquant l'exigence d'avoir IAM «IAM: Passrole« Politique afin de permettre l'accès au rôle en plus d'avoir les autorisations IAM d'appeler l'API «CléableRoleAccess».Les clients utilisant le Recommandé Politique pourLa fonctionnalité n'aurait pas été affectée par ce problème et aucune action client n'est requise.
Nous aimons remercier la sécurité de Cloudar pour avoir divulgué de manière responsable ce problème et travailler avec nous sur sa résolution.Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Initial Publication Date: 06/14/2023 4:30PM PDT A researcher recently reported an issue in AWS Directory Service which would have enabled customer\'s IAM principals, who are allowed to call the “EnableRoleAccess” API, to enable role access on the directory user even if that IAM principal did not have the “iam:passrole” permission. This specific issue would only occur if the calling IAM principal had permissions to call “EnableRoleAccess” API and would be limited to the customer\'s account. The issue has been remediated by enforcing the requirement to have IAM “iam:passrole“ policy in order to enable role access in addition to having IAM permissions to call the ”EnableRoleAccess“ API. Customers using the recommended policy for the feature would not have been impacted by this issue and no customer action is required. We like to thank Cloudar Security for responsibly disclosing this issue and working with us on its resolution. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
| Envoyé | Oui |
| Condensat | 06/14/2023 4:30pm access account action addition allowed api are attention aws been brought call calling can cloudar com concerns customer customers date: did directory disclosing enable enabled enableroleaccess enforcing even feature had has have having iam impacted initial issue its like limited not occur only order pdt permission permissions policy principal principals publication questions recently recommended related remediated reported required requirement researcher resolution responsibly role security security@amazon service specific thank user using which who working would “enableroleaccess” “iam:passrole“ “iam:passrole” ”enableroleaccess“ |
| Tags | |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.