One Article Review
| Source |  Vuln AWS |
|---|---|
| Identifiant | 8482777 |
| Date de publication | 2024-04-15 13:59:10 (vue: 2024-04-15 15:07:19) |
| Titre | CVE-2024-28056 |
| Texte | Date de publication: & NBSP; 2024/04/15 07:00 PST
AWS est au courant de CVE-2024-28056, qui affecte les versions CLI Amplify avant le 12.10.1.Nous avons publié un correctif pour amplifier le 10 janvier 2024 et recommandés aux clients de passer à 12.10.1 pour résoudre ce problème.Nous avons communiqué de manière proactive avec les clients en utilisant des versions affectées.
AWS a pris des mesures supplémentaires pour protéger les clients en utilisant Amplify contre les erreurs de configuration involontaires.AWS a ajouté une atténuation du service de jeton de sécurité AWS (STS) où tente de faire une hypothèse de rôle transversal avec une politique de confiance faisant référence à AWS Cognito en tant que directeur de confiance, sans conditions restreignant l'accès, échouera.Par conséquent, l'accès croisé ne sera plus possible avec les politiques créées par des versions anti-non corrigées d'Amplify. ". AWS a également ajouté une atténuation du plan de contrôle AWS Identity and Access Management (IAM) de sorte que toute tentative de créer un rôleLa politique de confiance qui fait référence à AWS Cognito en tant que directeur de confiance, sans ajouter de conditions restreignant l'accès, échouera.
Nous tenons à remercier Datadog pour avoir divulgué de manière responsable ce problème à AWS.
Veuillez envoyer un courriel à aws-security@amazon.com avec toute question ou préoccupation de sécurité.
Publication Date: 2024/04/15 07:00 PM PST AWS is aware of CVE-2024-28056, which affects Amplify CLI versions prior to 12.10.1. We released a fix to Amplify on January 10, 2024, and recommend customers upgrade to 12.10.1 to address this issue. We have proactively communicated with the customers using affected versions. AWS has taken additional steps to protect customers using Amplify from unintentional misconfigurations. AWS added a mitigation to the AWS Security Token Service (STS) where attempts to make a cross-account role assumption with a trust policy referencing AWS Cognito as the trusted principal, without conditions restricting access, will fail. As a result, cross-account access will no longer be possible with policies created by earlier unpatched versions of Amplify.". AWS also added a mitigation to the AWS Identity and Access Management (IAM) control plane such that any attempt to create a role trust policy that references AWS Cognito as the trusted principal, without adding conditions restricting access, will fail. We would like to thank Datadog for responsibly disclosing this issue to AWS. Please email aws-security@amazon.com with any security questions or concerns. |
| Envoyé | Oui |
| Condensat | 07:00 2024 28056 access account added adding additional address affected affects also amplify any assumption attempt attempts aware aws cli cognito com communicated concerns conditions control create created cross customers cve datadog date: 2024/04/15 disclosing earlier email fail fix from has have iam identity issue january like longer make management misconfigurations mitigation plane please policies policy possible principal prior proactively protect pst publication questions recommend references referencing released responsibly restricting result role security security@amazon service steps sts such taken thank token trust trusted unintentional unpatched upgrade using versions where which will without would |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.