What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-05-18 13:59:18 | Reported GuardDuty Finding Issue (lien direct) | Date de publication initiale: 18/05/2023 10h00 HNE
Un chercheur en sécurité a récemment signalé un problème dans Amazon GuardDuty dans lequel une modification de la politique d'un seau S3 non protégé par le bloc d'accès public (BPA) pourrait être effectuée pour accorder un accès public au seau sans déclencher une alerte de garde.Ce problème spécifique se produirait si la politique S3 Bucket était mise à jour dans une seule nouvelle politique qui comprenait à la fois un "autorisation" pour "Principal ::" * "ou" Principal ":" AWS ":" * "dans une déclaration (faisant leBucket public) et également un «refuser» pour «Action»: «S3: GetBucketPublicAccessBlock dans un autre, qui a modifié toutes les capacités des appelants \\» (y compris GuardDuty) pour vérifier la configuration du seau.Les clients qui utilisent la fonctionnalité BPA recommandée n'auraient pas été touchés par ce problème parce que l'étape précédente requise de désactivation du BPA aurait déclenché une alerte de garde différente. .
Alors que les critères et la limitation de détection de garde précédents ont été publiquement documentés Ici , nous avons convenu avec la recommandation du chercheur \\ pour modifier ce comportement et, au 28 avril 2023, avons mis en œuvre un changement pour toujours fournir une alerte de garde dans ce cas.
Nous tenons à remercier la sécurité de GEM d'avoir divulgué de manière responsable ce problème et de travailler avec nous sur sa résolution.
Des questions ou des préoccupations liées à la sécurité peuvent être portées à notre attention via aws-security@amazon.com .
Initial Publication Date: 05/18/2023 10:00AM EST A security researcher recently reported an issue in Amazon GuardDuty in which a change to the policy of an S3 bucket not protected by Block Public Access (BPA) could be carried out to grant public access to the bucket without triggering a GuardDuty alert. This specific issue would occur if the S3 bucket policy was updated within a single new policy that included both an "Allow" for "Principal::"*" or "Principal":"AWS":"*" in one statement (making the bucket public) and also a “Deny” for "Action": "s3:GetBucketPublicAccessBlock in another, which altered all callers\' ability (including GuardDuty) to check bucket configuration. Customers who use the recommended BPA feature would not have been impacted by this issue because the required previous step of disabling BPA would have triggered a different GuardDuty alert. While the previous GuardDuty detection criteria and limitation was publicly documented here, we agreed with the researcher\'s recommendation to alter this behavior and, as of April 28, 2023, have implemented a change to still provide a GuardDuty alert in this case. We would like to thank Gem Security for responsibly disclosing this issue and working with us on its resolution. Security-related questions or concerns can be brought to our attention via aws-security@amazon.com. |
Vulnerability | ★★ |
1
We have: 1 articles.
We have: 1 articles.
To see everything:
Our RSS (filtrered)
