AWS Cloud Development Kit (AWS CDK) — это среда разработки программного обеспечения с открытым исходным кодом, позволяющая определять облачную инфраструктуру в коде и предоставлять ее через AWS CloudFormation. Пользователи, использующие пакет поставщика настраиваемых ресурсов IAM OIDC, будут загружать отпечатки CA в рамках рабочего процесса настраиваемых ресурсов. Однако текущий метод tls.connect всегда будет устанавливать rejectUnauthorized: false, что является потенциальной угрозой безопасности.
CDK должен следовать передовому опыту и установить `rejectUnauthorized: true`. Однако это может стать критическим изменением для существующих приложений CDK, и мы должны исправить это с помощью функционального флага. Обратите внимание, что это помечено как рекомендация по безопасности с низкой степенью серьезности, поскольку URL-адрес издателя предоставляется пользователями CDK, которые определяют приложение CDK.
Если они настаивают на подключении к неавторизованному провайдеру OIDC, CDK не должен запрещать это. Кроме того, блок кода запускается в среде Lambda, что смягчает атаку MITM. Патч находится в разработке.
Чтобы устранить эту проблему, обновите CDK до версии 2.177.0 (ожидаемая дата выпуска 22 февраля 2025 г.). После обновления пользователи должны убедиться, что для флага функции @aws-cdk/aws-iam:oidcRejectUnauthorizedConnections установлено значение true в `cdk.context.json` или `cdk.json`. Известных способов обхода этой уязвимости не существует.
Показать оригинальное описание (EN)
The AWS Cloud Development Kit (AWS CDK) is an open-source software development framework to define cloud infrastructure in code and provision it through AWS CloudFormation. Users who use IAM OIDC custom resource provider package will download CA Thumbprints as part of the custom resource workflow. However, the current `tls.connect` method will always set `rejectUnauthorized: false` which is a potential security concern. CDK should follow the best practice and set `rejectUnauthorized: true`. However, this could be a breaking change for existing CDK applications and we should fix this with a feature flag. Note that this is marked as low severity Security advisory because the issuer url is provided by CDK users who define the CDK application. If they insist on connecting to a unauthorized OIDC provider, CDK should not disallow this. Additionally, the code block is run in a Lambda environment which mitigate the MITM attack. The patch is in progress. To mitigate, upgrade to CDK v2.177.0 (Expected release date 2025-02-22). Once upgraded, users should make sure the feature flag '@aws-cdk/aws-iam:oidcRejectUnauthorizedConnections' is set to true in `cdk.context.json` or `cdk.json`. There are no known workarounds for this vulnerability.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Amazon Aws_Cloud_Development_Kit
cpe:2.3:a:amazon:aws_cloud_development_kit:*:*:*:*:*:*:*:*
|
— |
2.177.0
|