亚马逊Web服务(AWS)修复了其云开发套件(CDK)中的安全缺陷
,该缺陷本可以使威胁参与者完全接管人们的帐户。
AWS云开发套件(CDK)是一个开源软件开发框架
,允许开发人员使用熟悉的编程语言(如Typescript,Python和Java)来定义云基础架构
。它通过将代码转换为AWS云形式模板来简化创建和管理AWS资源的过程
,从而使基础架构成为代码(IAC)实践
。
为了部署应用程序
,首先需要用户来引导环境,其中包括创建必要的组件 ,例如身份和访问管理(IAM)绳索
,权限,策略,策略和S3登台桶。S3登台桶遵循相同的命名模式:“ CDK - {Description} - {Account-ID} - {region}”
。这意味着
,只要他们知道AWS帐户ID和部署CDK的区域
,Crooks就可以轻松预测名称
。
你可能喜欢
亚马逊EC2实例可能会受到Whoami技术的抨击,使黑客代码执行访问
据报道
,AWS的视野错误用于发射网络钓鱼攻击
开源软件中的安全问题使有关系统有关
成千上万的实例
“由于前缀始终是CDK
,因此预选赛默认情况下是HNB659FDS,资产是存储桶名称中恒定的字符串
,唯一更改的变量是帐户ID和该地区。
”
这意味着Crooks可以提前声称其他人的CDK登台名称
,并用恶意软件预处,然后等待受害者运行它 。
更糟糕的是
,Aqua说
,在Bootstrap流程中使用了默认的预选程序的“成千上万个
”实例,这使声明另一个用户的CDK登台存储桶名称非常容易
。实际上 ,问题可能“允许攻击者获得对目标AWS帐户的行政访问
,从而导致全部帐户收购。”
据说,Aqua向亚马逊报告了这个缺陷,亚马逊在今年7月初对其进行了修补。第一个干净的CDK版本是v2.149.0
。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯
,以获取您的业务成功所需的所有首选
,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻
,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息
,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间
。
通过寄存器
Techradar Pro的更多信息
AWS修补了一个令人尴尬的Kubernetes Bughere的列表
,如今是最好的端点保护工具
本文来自作者[窗捉耗]投稿,不代表卓思号立场,如若转载,请注明出处:https://nc-sczs.cn/wiki/202506-3419.html
评论列表(4条)
我是卓思号的签约作者“窗捉耗”!
希望本篇文章《AWS修复了云开发套件安全漏洞,可以允许完全收购帐户》能对你有所帮助!
本站[卓思号]内容主要涵盖:国足,欧洲杯,世界杯,篮球,欧冠,亚冠,英超,足球,综合体育
本文概览: 亚马逊Web服务(AWS)修复了其云开发套件(CDK)中的安全缺陷,该缺陷本可以使威胁参与者完全接管人们的帐户。 AWS云开发套件(CDK)是一个开源软件开发框架...