What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-04-19 15:59:33 | Réponse AWS au rapport de mars 2024 CSRB AWS Response to March 2024 CSRB report (lien direct) |
Date de publication: & nbsp; 2024/04/19 09:00 AM PDT
AWS est au courant d'un récent rapport du comité d'examen de la cybersécurité (CSRB) concernant une question d'échange en ligne Microsoft 2023.Nous ne sommes pas affectés par les problèmes décrits dans ce rapport et aucune action client n'est requise.
À AWS, la sécurité est notre priorité absolue.Chaque client AWS profite du fait que nous avons l'expérience la plus opérationnelle de tout fournisseur de cloud.Nous avons conçu AWS de sa fondation même pour être le moyen le plus sûr pour nos clients de gérer leurs charges de travail et construit notre culture interne autour de la sécurité en tant qu'impérative commerciale.La sécurité du nuage AWS est unique et différenciée par notre technologie, notre culture et nos pratiques.
Pour en savoir plus, veuillez consulter notre " Comment la culture unique de la sécurité à AWS fait une différence " Article de blog.
& nbsp;
Publication Date: 2024/04/19 09:00 AM PDT AWS is aware of a recent Cyber Safety Review Board (CSRB) report regarding a 2023 Microsoft Online Exchange issue. We are not affected by the issues described in this report and no customer action is required. At AWS, security is our top priority. Every AWS customer benefits from the fact that we have the most operational experience of any cloud provider. We designed AWS from its very foundation to be the most secure way for our customers to run their workloads, and built our internal culture around security as a business imperative. The security of the AWS cloud is unique and differentiated by our technology, culture, and practices. To learn more, please refer to our "How the unique culture of security at AWS makes a difference" blog post. |
Cloud | ||
|
2024-04-15 13:59:10 | CVE-2024-28056 (lien direct) | Date de publication: & NBSP; 2024/04/15 07:00 PST
AWS est au courant de CVE-2024-28056, qui affecte les versions CLI Amplify avant le 12.10.1.Nous avons publié un correctif pour amplifier le 10 janvier 2024 et recommandés aux clients de passer à 12.10.1 pour résoudre ce problème.Nous avons communiqué de manière proactive avec les clients en utilisant des versions affectées.
AWS a pris des mesures supplémentaires pour protéger les clients en utilisant Amplify contre les erreurs de configuration involontaires.AWS a ajouté une atténuation du service de jeton de sécurité AWS (STS) où tente de faire une hypothèse de rôle transversal avec une politique de confiance faisant référence à AWS Cognito en tant que directeur de confiance, sans conditions restreignant l'accès, échouera.Par conséquent, l'accès croisé ne sera plus possible avec les politiques créées par des versions anti-non corrigées d'Amplify. ". AWS a également ajouté une atténuation du plan de contrôle AWS Identity and Access Management (IAM) de sorte que toute tentative de créer un rôleLa politique de confiance qui fait référence à AWS Cognito en tant que directeur de confiance, sans ajouter de conditions restreignant l'accès, échouera.
Nous tenons à remercier Datadog pour avoir divulgué de manière responsable ce problème à AWS.
Veuillez envoyer un courriel à aws-security@amazon.com avec toute question ou préoccupation de sécurité.
Publication Date: 2024/04/15 07:00 PM PST AWS is aware of CVE-2024-28056, which affects Amplify CLI versions prior to 12.10.1. We released a fix to Amplify on January 10, 2024, and recommend customers upgrade to 12.10.1 to address this issue. We have proactively communicated with the customers using affected versions. AWS has taken additional steps to protect customers using Amplify from unintentional misconfigurations. AWS added a mitigation to the AWS Security Token Service (STS) where attempts to make a cross-account role assumption with a trust policy referencing AWS Cognito as the trusted principal, without conditions restricting access, will fail. As a result, cross-account access will no longer be possible with policies created by earlier unpatched versions of Amplify.". AWS also added a mitigation to the AWS Identity and Access Management (IAM) control plane such that any attempt to create a role trust policy that references AWS Cognito as the trusted principal, without adding conditions restricting access, will fail. We would like to thank Datadog for responsibly disclosing this issue to AWS. Please email aws-security@amazon.com with any security questions or concerns. |
|||
|
2024-03-29 19:12:44 | CVE-2024-3094 (lien direct) | Date de publication: & NBSP; 2024/03/29 12:30 PST Identifiant CVE: CVE-2024-3094
AWS est au courant de CVE-2024-3094, qui affecte les versions 5.6.0 et 5.6.1 du package XZ-Utils.Ce problème peut tenter d'introduire des problèmes de sécurité dans OpenSSH grâce à l'utilisation de Liblzma dans certains environnements du système d'exploitation.Les clients d'Amazon Linux ne sont pas affectés par ce problème et aucune action n'est requise.L'infrastructure et les services AWS n'utilisent pas le logiciel affecté et ne sont pas touchés.Les utilisateurs de BottleRocking ne sont pas affectés.
Les clients utilisant d'autres systèmes d'exploitation sont invités à se référer aux informations fournies par le fournisseur du système d'exploitation pour répondre à toute préoccupation provenant de ce problème rapporté.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2024/03/29 12:30 PM PST CVE Identifier: CVE-2024-3094 AWS is aware of CVE-2024-3094, which affects versions 5.6.0 and 5.6.1 of the xz-utils package. This issue may attempt to introduce security issues in openssh through the use of liblzma within some operating system environments. Amazon Linux customers are not affected by this issue, and no action is required. AWS infrastructure and services do not utilize the affected software and are not impacted. Users of Bottlerocket are not affected. Customers using other operating systems are advised to refer to information provided by the OS vendor to address any concerns originating from this reported issue. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
|||
|
2024-01-31 21:25:41 | CVE-2024-21626 - Runc Container Issue (lien direct) | Publication Date: 2024/01/31 1:30 PM PST CVE Identifier: CVE-2024-21626 AWS is aware of a recently disclosed security issue affecting the runc component of several open source container management systems (CVE-2024-21626). With the exception of the AWS services listed below, no customer action is required to address this issue. Amazon Linux An updated version of runc is available for Amazon Linux 1 (runc-1.1.11-1.0.amzn1), Amazon Linux 2 (runc-1.1.11-1.amzn2) and for Amazon Linux 2023 (runc-1.1.11-1.amzn2023). AWS recommends that customers using runc or other container-related software apply those updates or a newer version. Further information is available in the Amazon Linux Security Center. Bottlerocket OS An updated version of runc will be included in Bottlerocket 1.19.0, which will be released by February 2, 2024. AWS recommends that customers using Bottlerocket apply this update or a newer version. Further information will be posted in the Bottlerocket Security Advisories and the Bottlerocket Release Notes. Amazon Elastic Container Service (ECS) This CVE has been patched in runc, and an updated version of runc, version 1.1.11-1, is available as part of the latest Amazon ECS-optimized Amazon Machine Images (AMIs) released on January 31, 2024. We recommend that ECS customers update to these AMIs (or the latest available) or perform a "yum update -security" to obtain this patch. Please refer to the "Amazon ECS-optimized AMI" user guide for additional information. Amazon Elastic Kubernetes Services (EKS) Amazon EKS has released updated EKS-optimized Amazon Machine Images (AMIs) version v20240129 with the patched container runtime. Customers using Managed node groups can upgrade their node groups by referring to the EKS documentation. Customers using Karpenter can update their nodes by following the documentation on drift or AMI selection. Customers using self-managing worker nodes can replace existing nodes by referring to the EKS documentation. Amazon EKS Fargate will have an update available for new pods on clusters by February 1, 2024, and will display a Kubelet version ending in eks-680e576. Customers can verify the version of their nodes by running kubectl get nodes. Customers should delete their existing pods to receive the patch after February 2, 2024. Please refer to the "Getting started with AWS Fargate using Amazon EKS" documentation for information on deleting and creating Fargate pods. AWS Elastic Beanstalk Updated AWS Elastic Beanstalk Docker- and ECS-based platform versions are available. Customers using Managed Platform Updates will be automatically updated to the latest platform version in their selected maintenance window | |||
|
2023-11-14 19:51:13 | CVE-2023-23583 (lien direct) | Date de publication: 2023/11/14 11:50 AM PDT
AWS est conscient du CVE-2023-23583, qui affecte les processeurs Intel Xeon Scvable («Icelake») de troisième génération qui alimentent les C6i, C6ID, C6IN, M6I, MI6D, M6IN, M6IDN, R6I, R6ID, R6IN, R6IDN, X2idn, x2iedn, i4i, hpc6id, trn1 et trn1n ec2 instructions.AWS a appliqué le dernier microcode Intel à toutes les instances EC2 basées sur Intel Icelake, et aucune action client n'est requise.Les services de calcul et de conteneurs gérés par l'AWS, tels que les EC, les EK et Lambda, ne sont pas non plus affectés par ce problème, et aucune action client n'est requise.
Si vous utilisez des instances EC2 Bare Metal, nous vous recommandons de redémarrer vos instances pour appliquer le correctif de sécurité ou appliquer le dernier microcode Intel via le canal d'exploitation en cours d'exécution.Pour appliquer le correctif via le système d'exploitation en cours d'exécution, vous devez travailler avec votre fournisseur de système d'exploitation pour obtenir les dernières mises à jour de sécurité qui résolvent ce problème.Pour Amazon Linux, nous vous recommandons de mettre à jour le package microcode_ctl vers une version égale ou supérieure à Microcode_CTL-2.1-47.42.amzn1 pour Amazon Linux 1, Microcode_CTL-2.1-47.amzn2.4.15 pour Amazon Linux 2 et Microcode_CTL-2.1-53.amzn2023.0.3 pour Amazon Linux 2023.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2023/11/14 11:50 AM PDT AWS is aware of CVE-2023-23583, which affects third generation Intel Xeon Scalable (“Icelake”) processors that power the C6i, C6id, C6in, M6i, Mi6d, M6in, M6idn, R6i, R6id, R6in, R6idn, X2idn, X2iedn, I4i, Hpc6id, Trn1, and Trn1n EC2 instance families. AWS has applied the latest Intel microcode to all Intel Icelake-based EC2 instances, and no customer action is required. AWS-managed compute and container services, such as ECS, EKS, and Lambda, are also not affected by this issue, and no customer action is required. If you are using EC2 bare metal instances, we recommend you reboot your instances to apply the security fix or apply the latest Intel microcode through the running operating channel. To apply the fix via the running operating system, you must work with your operating system vendor to obtain the latest security updates that address this issue. For Amazon Linux, we recommend you update the microcode_ctl package to a version equal to or greater than microcode_ctl-2.1-47.42.amzn1 for Amazon Linux 1, microcode_ctl-2.1-47.amzn2.4.15 for Amazon Linux 2, and microcode_ctl-2.1-53.amzn2023.0.3 for Amazon Linux 2023. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
|||
|
2023-11-14 19:37:41 | CVE-2023-5528 (lien direct) | Date de publication: 2023/11/14 11:30 AM PDT
AWS est au courant de CVE-2023-5528, un problème à Kubernetes.Amazon Eks Optimized Windows Amis ne sont pas affectés par le problème car la classe de stockage de storage local de Kubernetes type est désactivé sur Eks Windows ami.
En tant que meilleure pratique de sécurité, nous recommandons aux clients EKS mettent à jour leurs configurations pour lancer de nouveaux nœuds de travail à partir de la dernière version AMI.Les clients utilisant des groupes de nœuds gérés peuvent mettre à niveau leurs groupes de nœuds en se référant à la documentation EKS.Veuillez vous référer à l'EKS documentation Pour remplacer vos instances existantes par vos nœuds de travailleur d'autogestion par le nouveau AMI Version .
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2023/11/14 11:30 AM PDT AWS is aware of CVE-2023-5528, an issue in Kubernetes. Amazon EKS optimized Windows AMIs are not affected by the issue because the Kubernetes local-storage storage class type is disabled on EKS Windows AMI. As a security best practice, we recommend that EKS customers update their configurations to launch new worker nodes from the latest AMI version. Customers using Managed node groups can upgrade their node groups by referring to the EKS documentation. Please refer to the EKS documentation to replace your existing instances with your self-managing worker nodes with the new AMI version. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
Uber | ||
|
2023-10-10 12:02:02 | CVE-2023-44487 - Attaque de réinitialisation rapide HTTP / 2 CVE-2023-44487 - HTTP/2 Rapid Reset Attack (lien direct) |
Date de publication: 2023/10/10 05:00 AM PDT
AWS est au courant de CVE-2023-44487, également connu sous le nom de "HTTP / 2 Rapid Reset Attack", lié aux serveurs Web capables HTTP / 2 où la génération et l'annulation rapides des flux peuvent entraîner une charge supplémentaire qui pourrait entraîner un déni de déni de flux rapidedu service.L'infrastructure AWS est conçue avec diverses protections pour répondre aux inondations de demande de couche 7, nous avons mis en œuvre des atténuations supplémentaires pour résoudre ce problème.AWS recommande également aux clients qui exploitent leurs propres serveurs Web HTTP / 2 capables de vérifier avec leur fournisseur de serveur Web pour déterminer s'ils sont affectés et, dans l'affirmative, installez les derniers correctifs de leurs fournisseurs respectifs pour résoudre ce problème ..
Les clients peuvent en savoir plus à ce sujet dans le billet de blog AWS Security, intitulé " comment AWS protège les clients des événements DDOS ".
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2023/10/10 05:00 AM PDT AWS is aware of CVE-2023-44487, also known as "HTTP/2 Rapid Reset Attack," related to HTTP/2 capable web servers where rapid stream generation and cancellation can result in additional load which could lead to a Denial of Service. AWS infrastructure is designed with various protections to address Layer 7 request floods, we have implemented additional mitigations to address this issue. AWS also recommends customers who operate their own HTTP/2 capable web servers verify with their web server vendor to determine if they are affected and, if so, install the latest patches from their respective vendors to address this issue.. Customers can learn more about this in the AWS Security blog post, titled "How AWS Protects Customers from DDoS Events". Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
|||
|
2023-10-06 22:45:21 | Issue avec Amazon Workspaces Windows Client Version 5.9 et 5.10 Issue with Amazon WorkSpaces Windows Client Version 5.9 and 5.10 (lien direct) |
Date de publication: 2023/10/06 03:00 PM PDT
AWS a récemment identifié un problème dans Amazon Works Spaces Windows Client Versions 5.9.0 et 5.10.0, ce qui a abouti à la journalisation involontaire des informations de débogage de connexion au système local d'un utilisateur.Cela peut inclure des noms d'utilisateur ou des mots de passe s'ils contiennent des caractères spécifiques: \ (backslash) ou "(Double Quotes). Amazon Workspaces Client Client version 5.12.0 résout ce problème et supprimera automatiquement les journaux générés à partir des versions 5.9.0 et 5.10.0. Windows Client version 5.11.0 comprend également un correctif pour ce problème, mais nous vous recommandons de mettre à jour vers 5.12.0 car il comprend des optimisations supplémentaires ..
AWS & NBSP; a communiqué de manière proactive avec les clients à l'aide de ces versions affectées.AWS a également communiqué directement au petit nombre de clients où la rotation du mot de passe pourrait être nécessaire.
Si & nbsp; vous avez des questions ou des préoccupations concernant ces mises à jour, veuillez contacter le support AWS.Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2023/10/06 03:00 PM PDT AWS recently identified an issue in Amazon WorkSpaces Windows Client versions 5.9.0 and 5.10.0 which resulted in unintentionally logging connection debugging information to a user\'s local system. This may include usernames or passwords if they contain specific characters: \ (backslash) or " (double quotes). Amazon WorkSpaces Windows Client version 5.12.0 resolves this issue and will automatically delete the logs generated from versions 5.9.0 and 5.10.0. Windows Client version 5.11.0 also includes a fix for this issue, however we recommend updating to 5.12.0 because it includes additional optimizations.. AWS has proactively communicated with the customers using these impacted versions. AWS has also communicated directly to the small number of customers where password rotation might be needed. If you have any questions or concerns about these updates, please reach out to AWS Support. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
|||
|
2023-10-02 18:12:57 | Problème Torchserve signalé (CVE-2023-43654) Reported TorchServe Issue (CVE-2023-43654) (lien direct) |
Date de publication: 2023/10/02 02:00 PM EDT
AWS est au courant de CVE-2023-43654 dans les versions Pytorch Torchserve 0.3.0 à 0.8.1, qui utilisent une version de la bibliothèque open source SnakeyAml V1.31. Torchserve version 0.8.2 résout ces problèmes. & NBSP; AWS recommande aux clients d'utiliser Pytorch Inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 ou 2.0.1 dans EC2, EKS ou ECS publié avant le 11 septembre 2023, mise à jour vers Torchserve version 0.8.2 .
Les clients utilisant des conteneurs en profondeur d'inférence Pytorch (DLC) via Amazon Sagemaker ne sont pas affectés.
Les clients peuvent utiliser les nouvelles balises d'image suivantes pour tirer des DLC qui sont expédiés avec Torchserve Patchée version 0.8.2:
Les détails de l'URI de l'image DLC complète peuvent être trouvés sur: https://github.com/aws/deep-learning-continateurs/blob/master/available_images.md#available-deep-learning-continers-images .
Nous tenons à remercier Oligo Security d'avoir divulgué de manière responsable ce problème et de travailler avec les mainteneurs Pytorch sur sa résolution.
Si vous avez des questions ou des commentaires sur ce conseil, nous vous demandons de contacter AWS / Amazon Security via notre page de rapport de vulnérabilité ou directement par e-mail à aws-security@amazon.com .Veuillez ne pas créer de problème de github public.
Publication Date: 2023/10/02 02:00 PM EDT AWS is aware of CVE-2023-43654 in PyTorch TorchServe versions 0.3.0 to 0.8.1, which use a version of the SnakeYAML v1.31 open source library. TorchServe version 0.8.2 resolves these issues. AWS recommends customers using PyTorch inference Deep Learning Containers (DLC) 1.13.1, 2.0.0, or 2.0.1 in EC2, EKS, or ECS released prior to September 11, 2023, update to TorchServe version 0.8.2. Customers using PyTorch inference Deep Learning Containers (DLC) through Amazon SageMaker are not affected. Customers can use the following new image tags to pull DLCs that ship with patched TorchServe version 0.8.2: The full DLC image URI details can be found at: https://github.com/aws/deep-learning-containers/blob/master/available_images.md#available-deep-learning-containers-images. We would like to thank Oligo Security for responsibly disclosing this issue and working with the PyTorch maintainers on its resolution. If you have any questions or comments about this advisory, we ask that you contact AWS/Amazon Security via our vulnerability reporting page or directly via email to aws-security@amazon.com. Please do not create a public GitHub issue. |
|||
|
2023-08-23 16:59:19 | Kubernetes Security Issues (CVE-2023-3676, CVE-2023-3893, CVE-2023-3893) (lien direct) | Date de publication: 2023/08/23 10:00 AM PDT
AWS est au courant de trois problèmes de sécurité (CVE-2023-3676, CVE-2023-3893, CVE-2023-3893) dans Kubernetes qui affectent les clients Amazon EK avec les nœuds Windows EC2 dans leurs groupes.Ces problèmes n'affectent aucun plan de contrôle de Kubernetes ou le service lui-même, et ces problèmes ne permettent pas d'impact sur le client.AMAME EKS Windows AMIS mis à jour est désormais disponible pour les versions Kubernetes 1.23 à 1.27 qui incluent des versions patchées de Kubelet et CSI-Proxy.Nous recommandons aux clients EKS mettent à jour leurs configurations pour lancer de nouveaux nœuds de travail à partir de la dernière version AMI.
Les clients utilisant des groupes de nœuds gérés peuvent se référer à la Documentation EKS Pour les instructions sur la mise à niveau de leurs groupes de nœuds.Les clients d'autogestion des nœuds de travailleurs devraient remplacer les instances existantes par la nouvelle version AMI en se référant à la Documentation EKS .
Si vous avez des questions ou des préoccupations concernant ces mises à jour, veuillez contacter soutien AWS .Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2023/08/23 10:00 AM PDT AWS is aware of three security issues (CVE-2023-3676, CVE-2023-3893, CVE-2023-3893) in Kubernetes that affect Amazon EKS customers with Windows EC2 nodes in their clusters. These issues do not affect any Kubernetes control plane or the service itself, nor do these issues permit cross-customer impact. Updated Amazon EKS Windows AMIs are now available for Kubernetes versions 1.23 through 1.27 that include patched builds of kubelet and csi-proxy. We recommend that EKS customers update their configurations to launch new worker nodes from the latest AMI version. Customers using Managed node groups can refer to the EKS Documentation for instructions on upgrading their node groups. Customers self-managing worker nodes should replace existing instances with the new AMI version by referring to the EKS documentation. If you have questions or concerns about these updates, please reach out to AWS Support. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
Uber | ★★ | |
|
2023-08-08 19:56:36 | CVE-2022-40982 - Rassemblez l'échantillonnage de données - chute CVE-2022-40982 - Gather Data Sampling - Downfall (lien direct) |
Date de publication: 2023/08/08 1:00 PM PDT
AWS est au courant de CVE-2022-40982, également connu sous le nom de «collecte d'échantillonnage de données» (GDS) ou de «chute».Les données et les instances des clients AWS ne sont pas affectés par ce problème, et aucune action client n'est requise.AWS a conçu et mis en œuvre son infrastructure avec des protections contre cette classe de problèmes.Les instances d'Amazon EC2, y compris Lambda, Fargate et d'autres services de calcul et de conteneurs gérés par l'AWS, protègent les données des clients contre les GD via des atténuations basées sur les microcodes et les logiciels.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2023/08/08 1:00 PM PDT AWS is aware of CVE-2022-40982, also known as “Gather Data Sampling” (GDS) or “Downfall”. AWS customers\' data and instances are not affected by this issue, and no customer action is required. AWS has designed and implemented its infrastructure with protections against this class of issues. Amazon EC2 instances, including Lambda, Fargate, and other AWS-managed compute and container services protect customer data against GDS through microcode and software based mitigations. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
★★ | ||
|
2023-08-08 18:29:26 | CVE-2023-20569 - RAS Empoisonnement - Inception CVE-2023-20569 - RAS Poisoning - Inception (lien direct) |
Date de publication: 2023/08/08 11:30 AM PDT
AWS est conscient du CVE-2023-20569, également connu sous le nom de «Ras Poisoning» ou «Inception».Les données et les instances des clients AWS ne sont pas affectés par ce problème, et aucune action client n'est requise.AWS a conçu et mis en œuvre son infrastructure avec des protections contre cette classe de problèmes.Les instances d'Amazon EC2, y compris Lambda, Fargate et d'autres services de calcul et de conteneurs gérés par l'AWS, protègent les données des clients contre la création via un microcode et des atténuations logicielles.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via & nbsp; aws-security@amazon.com .
Publication Date: 2023/08/08 11:30AM PDT AWS is aware of CVE-2023-20569, also known as “RAS Poisoning” or “Inception”. AWS customers\' data and instances are not affected by this issue, and no customer action is required. AWS has designed and implemented its infrastructure with protections against this class of issues. Amazon EC2 instances, including Lambda, Fargate, and other AWS-managed compute and container services, protect customer data against Inception through microcode and software-based mitigations. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
★★★ | ||
|
2023-08-01 17:27:07 | Recherche de sécurité du canal latéral récent basé sur logiciel Recent Software-based Power Side-Channel Security Research (lien direct) |
Date de publication: 2023/08/01 10:00 AM PDT
AWS est au courant de la recherche en matière de sécurité récemment publiée décrivant les préoccupations du canal secondaire basées sur le logiciel, autrement connu sous le nom de «collide + pouvoir».Les données et les instances des clients AWS ne sont pas affectés par ce problème, et aucune action client n'est requise.AWS a conçu et mis en œuvre son infrastructure avec des protections contre ces types de préoccupations.Les instances Amazon EC2, y compris Lambda, Fargate et autres services de calcul et de conteneurs gérées par l'AWS, n'expose pas les mécanismes de mesure de l'énergie, tels que l'exécution de la limite de puissance moyenne (RAPL) ou des interfaces similaires, dans l'environnement virtualisé.
Nous tenons à remercier l'Université de technologie de Graz et le Centre Cispa Helmholtz pour la sécurité de l'information pour avoir divulgué de manière responsable ce problème et travailler avec nous sur sa résolution.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Publication Date: 2023/08/01 10:00AM PDT AWS is aware of recently-published security research describing software-based power side-channel concerns, otherwise known as ”Collide+Power“. AWS customers\' data and instances are not impacted by this issue, and no customer action is required. AWS has designed and implemented its infrastructure with protections against these types of concerns. Amazon EC2 instances, including Lambda, Fargate, and other AWS-managed compute and container services, do not expose power measurement mechanisms, such as Running Average Power Limit (RAPL) or similar interfaces, within the virtualized environment. We would like to thank the Graz University of Technology and CISPA Helmholtz Center for Information Security for responsibly disclosing this issue and working with us on its resolution. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
★★ | ||
|
2023-06-14 23:59:16 | Problème avec AWS Directory Service EnableRoLeaccess Issue with AWS Directory Service EnableRoleAccess (lien direct) |
Date de publication initiale: 14/06/2023 4:30 PM PDT
Un chercheur a récemment signalé un problème dans AWS Directory Service qui aurait permis à IAM Principal \\ de Customer \\, qui est autorisé à appeler l'API «CléableRoleAccess», pour permettre l'accès au rôle sur l'utilisateur de l'annuaire même si ce directeur IAM faisaitpas l'autorisation «iam: passrole».Ce problème spécifique ne se produirait que si le directeur d'appel IAM avait des autorisations d'appeler l'API «INABLEROLEACCES» et serait limitée au compte du client.
La question a été corrigée en appliquant l'exigence d'avoir IAM «IAM: Passrole« Politique afin de permettre l'accès au rôle en plus d'avoir les autorisations IAM d'appeler l'API «CléableRoleAccess».Les clients utilisant le Recommandé Politique pourLa fonctionnalité n'aurait pas été affectée par ce problème et aucune action client n'est requise.
Nous aimons remercier la sécurité de Cloudar pour avoir divulgué de manière responsable ce problème et travailler avec nous sur sa résolution.Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Initial Publication Date: 06/14/2023 4:30PM PDT A researcher recently reported an issue in AWS Directory Service which would have enabled customer\'s IAM principals, who are allowed to call the “EnableRoleAccess” API, to enable role access on the directory user even if that IAM principal did not have the “iam:passrole” permission. This specific issue would only occur if the calling IAM principal had permissions to call “EnableRoleAccess” API and would be limited to the customer\'s account. The issue has been remediated by enforcing the requirement to have IAM “iam:passrole“ policy in order to enable role access in addition to having IAM permissions to call the ”EnableRoleAccess“ API. Customers using the recommended policy for the feature would not have been impacted by this issue and no customer action is required. We like to thank Cloudar Security for responsibly disclosing this issue and working with us on its resolution. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
★★ | ||
|
2023-05-18 13:59:18 | Reported GuardDuty Finding Issue (lien direct) | Date de publication initiale: 18/05/2023 10h00 HNE
Un chercheur en sécurité a récemment signalé un problème dans Amazon GuardDuty dans lequel une modification de la politique d'un seau S3 non protégé par le bloc d'accès public (BPA) pourrait être effectuée pour accorder un accès public au seau sans déclencher une alerte de garde.Ce problème spécifique se produirait si la politique S3 Bucket était mise à jour dans une seule nouvelle politique qui comprenait à la fois un "autorisation" pour "Principal ::" * "ou" Principal ":" AWS ":" * "dans une déclaration (faisant leBucket public) et également un «refuser» pour «Action»: «S3: GetBucketPublicAccessBlock dans un autre, qui a modifié toutes les capacités des appelants \\» (y compris GuardDuty) pour vérifier la configuration du seau.Les clients qui utilisent la fonctionnalité BPA recommandée n'auraient pas été touchés par ce problème parce que l'étape précédente requise de désactivation du BPA aurait déclenché une alerte de garde différente. .
Alors que les critères et la limitation de détection de garde précédents ont été publiquement documentés Ici , nous avons convenu avec la recommandation du chercheur \\ pour modifier ce comportement et, au 28 avril 2023, avons mis en œuvre un changement pour toujours fournir une alerte de garde dans ce cas.
Nous tenons à remercier la sécurité de GEM d'avoir divulgué de manière responsable ce problème et de travailler avec nous sur sa résolution.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Initial Publication Date: 05/18/2023 10:00AM EST A security researcher recently reported an issue in Amazon GuardDuty in which a change to the policy of an S3 bucket not protected by Block Public Access (BPA) could be carried out to grant public access to the bucket without triggering a GuardDuty alert. This specific issue would occur if the S3 bucket policy was updated within a single new policy that included both an "Allow" for "Principal::"*" or "Principal":"AWS":"*" in one statement (making the bucket public) and also a “Deny” for "Action": "s3:GetBucketPublicAccessBlock in another, which altered all callers\' ability (including GuardDuty) to check bucket configuration. Customers who use the recommended BPA feature would not have been impacted by this issue because the required previous step of disabling BPA would have triggered a different GuardDuty alert. While the previous GuardDuty detection criteria and limitation was publicly documented here, we agreed with the researcher\'s recommendation to alter this behavior and, as of April 28, 2023, have implemented a change to still provide a GuardDuty alert in this case. We would like to thank Gem Security for responsibly disclosing this issue and working with us on its resolution. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
Vulnerability | ★★ | |
|
2023-04-25 14:03:37 | Problème avec IAM prenant en charge plusieurs appareils MFA Issue With IAM Supporting Multiple MFA Devices (lien direct) |
Date de publication initiale: 25/04/2023 10h00 HNE
Un chercheur en sécurité a récemment signalé un problème avec la prise en charge récemment publiée par AWS \\ (16 novembre 2022) pour plusieurs appareils d'authentification multi-facteurs (MFA) pour les principaux utilisateurs IAM.Le problème rapporté n'aurait pu être potentiellement que lorsque les trois conditions suivantes ont été remplies: (1) Un utilisateur IAM avait la possession d'identification à long terme d'accès à long terme (AK) / clé secrète (SK), (2) que l'utilisateur IAM avait le privilègePour ajouter un MFA à sa propre identité sans utiliser un MFA, et (3) que les privilèges d'accès globaux de l'utilisateur \\ de l'utilisateur au-delà de la connexion de la console avaient été configurés par un administrateur pour être plus élevé après avoir ajouté le MFA.Dans ces conditions étroites, la possession d'AK / SK seule était équivalente à la possession d'AK / SK et à un MFA précédemment configuré.
Alors que les utilisateurs IAM ayant la possibilité d'ajouter ou de supprimer un appareil MFA associé à leur propre identité ont toujours été en mesure de le faire uniquement avec les informations d'identification AK / SK, un problème s'est posé lorsque la nouvelle fonctionnalité a été combinée avec l'autogestion parIAM utilisateurs de leurs propres appareils MFA, avec un accès restreint avant qu'un MFA ne soit ajouté par l'utilisateur.Ce modèle d'autogestion a été documenté ici , et cette page comprenait un exemple de politique IAM pour la mise en œuvre du modèle.La combinaison de la nouvelle fonctionnalité multi-MFA a créé une incohérence avec cette approche.Compte tenu de la nouvelle fonctionnalité, un utilisateur avec seulement des informations d'identification AK / SK pourrait ajouter un MFA supplémentaire sans utiliser un MFA précédemment configuré, permettant ainsi à la possession d'AK / SK sans un MFA précédemment configuré pour obtenir potentiellement un accès plus large que prévu par les clients utilisant leExemple de stratégie.
Ce problème n'a pas affecté l'accès basé sur la console de gestion AWS, car un MFA existant est toujours requis pour la connexion.Cela n'a pas non plus affecté les directeurs fédérés, qui gèrent le MFA par le biais de leur fournisseur d'identité.
Au 21 avril 2023, la question identifiée a été corrigée en exigeant que les utilisateurs IAM qui ont déjà un ou plusieurs AMF et qui utilisent des informations d'identification AK / SK pour gérer leurs propres appareils MFA pour utiliser d'abord STS: GetessionToken et un existant existantMFA pour obtenir des informations d'identification temporaires compatibles MFA pour signer leurs commandes CLI ou leurs demandes d'API avant d'activer ou de désactiver les appareils MFA pour eux-mêmes.Nous avons directement informé un très petit nombre de clients via leur tableau de bord personnel qui avait précédemment associé un appareil MFA supplémentaire en utilisant un mécanisme autre que la console de gestion AWS.Nous avons recommandé que ces clients avertis confirment l'exactitude de leurs configurations MFA.Aucune autre action client n'est requise.
Nous tenons à remercier les chercheurs de MWR Cybersec pour avoir identifié et divulgué de manière responsable ce problème à AWS.Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Initial Publication Date: 04/25/2023 10:00AM EST A security researcher recently reported an issue with AWS\'s recently-released (November 16th, 2022) support for multiple multi-factor authentication (MFA) devices for IAM user principals. The reported issue could have potentially arisen only when |
★★ | ||
|
2022-12-13 13:59:27 | Reported ECR Public Gallery Issue (lien direct) | Initial Publication Date: 12/13/2022 9:00AM EST On November 14, 2022, a security researcher reported an issue in Amazon Elastic Container Registry (ECR) Public Gallery, a public website for finding and sharing public container images. The researcher identified an ECR API action that, if called, could have enabled modification or removal of images available on ECR Public Gallery. As of November 15, 2022, the identified issue was remediated. We have conducted exhaustive analysis of all logs, we are confident our review was conclusive, and that the only activity associated with this issue was between accounts owned by the researcher. No other customers' accounts were affected, and no customer action is required. We would like to thank Lightspin for reporting this issue. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | ★★ | ||
|
2022-11-21 15:04:24 | Reported AWS AppSync Issue (lien direct) | Initial Publication Date: 2022/11/21 10:00AM EST A security researcher recently disclosed a case-sensitivity parsing issue within AWS AppSync, which could potentially be used to bypass the service's cross-account role usage validations and take action as the service across customer accounts. No customers were affected by this issue, and no customer action is required. AWS moved immediately to correct this issue when it was reported. Analysis of logs going back to the launch of the service have been conducted and we have conclusively determined that the only activity associated with this issue was between accounts owned by the researcher. No other customer accounts were impacted. We would like to thank Datadog Security Labs for reporting this issue. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | ★★ | ||
|
2022-11-01 17:39:26 | OpenSSL Security Advisories - November 2022 (lien direct) | Initial Publication Date: 2022/11/01 09:00 PDT AWS is aware of the recently reported issues regarding OpenSSL 3.0 (CVE-2022-3602 and CVE-2022-3786). AWS services are not affected, and no customer action is required. Additionally, Amazon Linux 1 and Amazon Linux 2 do not ship with OpenSSL 3.0 and are not affected by these issues. Customers utilizing Amazon Linux 2022, Bottlerocket OS or ECS-optimized Amazon Machine Images (AMIs) on Amazon ECS should read the instructions below. As a security best practice, we encourage customers who manage environments containing OpenSSL 3.0 to update to the latest version, available at https://www.openssl.org/source/ or via their operating system's software update mechanism. Amazon Linux 2022 We will release an updated version of OpenSSL 3.0 to the Amazon Linux 2022 repositories shortly. Once available, customers testing the preview release of Amazon Linux 2022 should upgrade to the patched version of OpenSSL 3.0. Updated Amazon Linux 2022 AMIs will also be available shortly. More information is available in the Amazon Linux Security Center: https://alas.aws.amazon.com/alas2022.html Amazon Elastic Container Service Amazon ECS will release updated ECS-optimized Amazon Machine Images (AMIs) containing mitigations for these issues shortly. More information about the ECS-optimized AMI is available at https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html. Meanwhile, we recommend that ECS customers who use the preview release of the ECS-optimized Amazon Linux 2022 AMI update the version of OpenSSL 3.0 via DNF configuration. More information is available at https://docs.aws.amazon.com/linux/al2022/ug/managing-repos-os-updates.html. Bottlerocket OS While Bottlerocket OS itself is not affected by these issues, we will shortly release a patched version of the Bottlerocket Update Operator solution containing the latest version of OpenSSL 3.0. Customers using the preview versions of the Bottlerocket Update Operator should upgrade to the new 1.0.0 version when it is available. We expect version 1.0.0 to be available no later than November 2, 2022. Information about the Bottlerocket Update Operator is available at https://github.com/bottlerocket-os/bottlerocket-update-operator and security advisories may be found at https://github.com/bottlerocket-os/bottlerocket-update-operator/security/advisories. | ★★ | ||
|
2022-07-11 15:54:32 | Reported EKS IAM Authenticator Issue (lien direct) | Initial Publication Date: 2022/07/11 9:00 PST A security researcher recently reported an issue with the AWS IAM Authenticator for Kubernetes, used by Amazon Elastic Kubernetes Service (EKS). The researcher identified a query parameter validation issue within the authenticator plugin when configured to use the “AccessKeyID” template parameter within query strings. This issue could have permitted a knowledgeable attacker to escalate privileges within a Kubernetes cluster. Customers who do not use the “AccessKeyID” parameter are not affected by this issue. As of June 28, 2022, all EKS clusters worldwide have been updated with a new version of the AWS IAM Authenticator for Kubernetes, containing a fix for this issue. Customers who use the AWS IAM Authenticator for Kubernetes within Amazon EKS do not need to take any action to protect themselves. Customers who host and manage their own Kubernetes clusters, and who use the authenticator plugin's “AccessKeyID” template parameter should update the AWS IAM Authenticator for Kubernetes to version 0.5.9. We would like to thank Lightspin for reporting this issue. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | Uber | ★★ | |
|
2022-04-19 21:32:21 | Reported Apache Log4j Hotpatch Issues (lien direct) | Initial Publication Date: 2022/04/19 14:30 PST CVE IDs: CVE-2021-3100, CVE-2021-3101, CVE-2022-0070, CVE-2022-0071 On December 12, 2021, Amazon publicly released a hotpatch for running Java VMs which disables the loading of the Java Naming and Directory Interface (JNDI) class. This hotpatch provides an immediate mitigation for critical issues within the open-source Apache “Log4j2" utility (CVE-2021-44228 and CVE-2021-45046) while allowing system administrators sufficient time to fully patch impacted environments. Security researchers recently reported issues within this hotpatch, and the associated OCI hooks for Bottlerocket (“Hotdog”). We have addressed these issues within a new version of the hotpatch, and a new version of Hotdog. We recommend that customers who run Java applications in containers, and use either the hotpatch or Hotdog, update to the latest versions of the software immediately. The latest package names and versions of the hotpatch for Amazon Linux and Amazon Linux 2 are as follows: Amazon Linux: log4j-cve-2021-44228-hotpatch-1.1-16.amzn1 Amazon Linux 2: log4j-cve-2021-44228-hotpatch-1.1-16.amzn2 Customers using the hotpatch for Apache Log4j on Amazon Linux can update to the latest hotpatch version by running the following command: sudo yum update. The hotpatch expects an environment containing the latest Linux kernel updates, and customers should not skip any available kernel updates when updating the version of the hotpatch in use. More information is available within the Amazon Linux Security Center: https://alas.aws.amazon.com Customers using Bottlerocket with the hotpatch for Apache Log4j feature enabled should update to the latest release of Bottlerocket, which includes the most recent version of Hotdog. We would like to thank Palo Alto Networks for reporting these issues. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | ★★ | ||
|
2022-04-12 22:24:29 | Reported AWS Desktop VPN Client for Windows Issue (lien direct) | Initial Publication Date: 2022/04/12 15:30 PST AWS is aware of the issues described in CVE-2022-25165 and CVE-2022-25166 relating to the AWS-provided Desktop VPN Client for Windows. These issues affect only client versions 2.0.0 and below; they have been addressed in version 3.0.0 and above. Note that these issues require existing code execution privileges and file access on the system running Desktop VPN Client for Windows. We recommend that customers upgrade to the latest version immediately to help ensure defense in depth. The latest version of the AWS Client VPN software is available for download at https://aws.amazon.com/vpn/client-vpn-download. We would like to thank Rhino Security Labs for reporting these issues. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | ★★ | ||
|
2022-04-11 23:35:47 | Reported Amazon RDS PostgreSQL issue (lien direct) | Initial Publication Date: 2022/04/11 16:45 PST Last Updated Date: 2022/04/12 13:00 PST A security researcher recently reported an issue with Aurora PostgreSQL. Using this issue, they were able to gain access to internal credentials that were specific to their Aurora cluster. No cross-customer or cross-cluster access was possible; however, highly privileged local database users who could exercise this issue could potentially have gained additional access to data hosted in their cluster or read files within the operating system of the underlying host running their database. This issue was associated with a third-party open-source PostgreSQL extension, “log_fdw”, which is pre-installed in both Amazon Aurora PostgreSQL and Amazon RDS for PostgreSQL. The issue permitted the researcher to examine the contents of local system files of the database instance within their account, including a file which contained credentials specific to Aurora. Privileged, authenticated database users with sufficient permissions to trigger this issue could use these credentials to gain elevated access to their own database resources from which the credentials were retrieved. They would not be able to use the credentials to access internal RDS services or move between databases or AWS accounts. The credentials could only be used to access resources associated with the Aurora database cluster from which the credentials were retrieved. AWS moved immediately to address this issue when it was reported. As part of our mitigation, we have updated Amazon Aurora PostgreSQL and Amazon RDS for PostgreSQL to prevent this issue. We have also deprecated the Amazon Aurora PostgreSQL and Amazon RDS for PostgreSQL minor versions listed below. As such, customers can no longer create new instances with these versions. The following Amazon Aurora PostgreSQL and Amazon RDS for PostgreSQL minor versions have been deprecated: Amazon Aurora PostgreSQL-compatible edition versions: 10.11, 10.12, 10.13 11.6, 11.7, 11.8 Amazon RDS for PostgreSQL versions: 13.2, 13.1 12.6, 12.5, 12.4, 12.3, 12.2 11.11, 11.10, 11.9, 11.8, 11.7, 11.6, 11.5, 11.5, 11.4, 11.3, 11.2, 11.1 10.16, 10.15, 10.14, 10.13, 10.12, 10.11, 10.10, 10.9, 10.7, 10.6, 10.5, 10.4, 10.3, 10.1 9.6.21, 9.6.20, 9.6.19, 9.6.18, 9.6.17, 9.6.16, 9.6.15, 9.6.14, 9.6.12, 9.6.11, 9.6.10, 9.6.9, 9.6.8, 9.6.6, 9.6.5, 9.6.3, 9.6.2, 9.6.1 9.5, 9.4 and 9.3 For detailed release notes about minor versions, including existing supported versions, visit Aurora PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Updates.20180305.html RDS PostgreSQL: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_PostgreSQL.html We would like to thank Lightspin for reporting this issue. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | ★★ | ||
|
2022-03-18 03:45:06 | CVE-2022-0778 awareness (lien direct) | Initial Publication Date: 2022/03/17 20:42 PST AWS is aware of an issue present in OpenSSL versions 1.0.2, 1.1.1, and 3.0 in which a certificate containing invalid explicit curve parameters can cause denial of service (DoS) by triggering an infinite logic loop. This issue was eliminated in the releases of OpenSSL 1.0.2zd, 1.1.1n, and 3.0.2. AWS is aware of this issue and is actively investigating for impact to AWS services. | ★★ | ||
|
2022-01-13 21:42:59 | Reported AWS Glue Issue (lien direct) | Initial Publication Date: 2022/01/13 13:00 PST A security researcher recently reported an issue that allowed them to take actions as the AWS Glue service. Utilizing an AWS Glue feature, researchers obtained credentials specific to the service itself, and an AWS-internal misconfiguration permitted the researchers to use these credentials as the AWS Glue service. There is no way that this could have been used to affect customers who do not use the AWS Glue service. No customer action is required. AWS moved immediately to correct this issue when it was reported. Analysis of logs going back to the launch of the service have been conducted and we have conclusively determined that the only activity associated with this issue was between accounts owned by the researcher. No other customer's accounts were impacted. All actions taken by AWS Glue in a customer's account are logged in CloudTrail records controlled and viewable by customers. We would like to thank Orca Security for reporting this issue. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | ★★ | ||
|
2022-01-13 21:16:03 | Reported AWS CloudFormation Issue (lien direct) | Initial Publication Date: 2022/01/13 13:00 PST Security researchers recently identified and reported an issue in AWS CloudFormation. Specifically, the reported issue was in the AWS CloudFormation service itself, which allowed viewing of some local configuration files on an AWS-internal host or attempted unauthenticated HTTP GET requests from the same host. The researchers utilized the HTTP GET capability to obtain a set of locally accessible credentials specific to the host. Neither the local configuration file access nor the host-specific credentials permitted access to any customer data or resources. AWS took immediate action to correct this issue when it was reported and verified that the technique described by the researchers could not be used to access customer data or resources. Extensive log analysis has verified the researchers activity was limited to the specific AWS CloudFormation host. AWS customers were not impacted by this reported concern, and there are no customer actions required. We would like to thank Orca Security for reporting this issue. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. | ★★ |
1
We have: 26 articles.
We have: 26 articles.
To see everything:
Our RSS (filtrered)
