• はてなブックマーク
  • テクノロジー
  • AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
  • Twitterでシェア
  • Facebookでシェア

AWS ALBに脆弱性 1万5000以上のアプリケーションに影響

テクノロジー カテゴリーの変更を依頼 記事元:www.itmedia.co.jp
適切な情報に変更
85 usersがブックマーク コメント14
    共有

    • 記事へのコメント14

    • 注目コメント
    • 新着コメント
    その他
    sfujiwara
    sfujiwara ALB外からのリクエストを受け取らなければそもそも問題はない、受け取る場合はJWTに追加されたsignerが想定のALB arnと一致しているか確認する必要がある、という理解をしたけどあってますかね

    2024/08/23 リンク

    その他
    prograti
    prograti 攻撃者が設置したALBでトークンに署名を行って、そのトークンでターゲットアプリの認証を通過する感じかな。対策はトークンの署名者が信頼できるALBであることを確認、信頼できるALBからのトラフィックのみを受信と

    2024/08/23 リンク

    その他
    toaruR
    toaruR 『ALBの設定を変更してトークンの発行者を偽装』……その権限があればそもそもアレもコレもできそうな(ノ∀`)

    2024/08/23 リンク

    その他
    Goldenduck
    Goldenduck 攻撃者がALBの設定を変更できる状態ならALBがどうとか言ってる段階じゃないのでは

    2024/08/23 リンク

    その他
    nmcli
    nmcli サービスへの理解不足が問題を引き起こすいつものパティーン

    2024/08/23 リンク

    その他
    jun_cham
    jun_cham 攻撃者がALBの管理者である必要があるように読めるんだけど…なにか解釈間違ってる…? https://www.miggo.io/resources/albeast-security-advisory-alb-vulnerability 追記:なるほど別ALBで署名してアプリに直で送るのか

    2024/08/23 リンク

    その他
    bayaread
    bayaread 普通ALB置いてたらセキュリティグループでるそのALBからのアクセスに絞ってるだろうし、cognitoで認証かけてるなら絶対やってそうだから影響なさそうだけどなー。

    2024/08/24 リンク

    その他
    kakei-akihiko
    kakei-akihiko トークンの発行元を検証しなければならないなんてALBに限った話じゃないものを、なんでALBの脆弱性だと言ってるのか、どういう状態なら脆弱性がないと言えるのか分からないな。

    2024/08/23 リンク

    その他
    lainof
    lainof ↓設定変更するALBは自分の所有物で、攻撃対象とは別では?"自分のアカウントで認証が設定されたALBインスタンスを作成し"

    2024/08/23 リンク

    その他
    nemoba
    nemoba https://miggo-blog-assets.s3.amazonaws.com/ALBeast-attack.mp4 最後のがバイパスしたリクエストならそんなサービス殆どいないような / issuerを書き換えてもセッションのが強い不具合があるのを大きく言ってる感も?

    2024/08/23 リンク

    その他
    Goldenduck
    Goldenduck 攻撃者がALBの設定を変更できる状態ならALBがどうとか言ってる段階じゃないのでは

    2024/08/23 リンク

    その他
    havanap
    havanap ALBでOIDCを処理できるのを今知り

    2024/08/23 リンク

    その他
    prograti
    prograti 攻撃者が設置したALBでトークンに署名を行って、そのトークンでターゲットアプリの認証を通過する感じかな。対策はトークンの署名者が信頼できるALBであることを確認、信頼できるALBからのトラフィックのみを受信と

    2024/08/23 リンク

    その他
    sfujiwara
    sfujiwara ALB外からのリクエストを受け取らなければそもそも問題はない、受け取る場合はJWTに追加されたsignerが想定のALB arnと一致しているか確認する必要がある、という理解をしたけどあってますかね

    2024/08/23 リンク

    その他
    jun_cham
    jun_cham 攻撃者がALBの管理者である必要があるように読めるんだけど…なにか解釈間違ってる…? https://www.miggo.io/resources/albeast-security-advisory-alb-vulnerability 追記:なるほど別ALBで署名してアプリに直で送るのか

    2024/08/23 リンク

    その他
    toaruR
    toaruR 『ALBの設定を変更してトークンの発行者を偽装』……その権限があればそもそもアレもコレもできそうな(ノ∀`)

    2024/08/23 リンク

    その他
    hateshinaiz
    hateshinaiz このタイトルはAWSからクレーム入りそう

    2024/08/23 リンク

    その他
    nmcli
    nmcli サービスへの理解不足が問題を引き起こすいつものパティーン

    2024/08/23 リンク

    その他
    progrhyme
    progrhyme ALBeast

    2024/08/23 リンク

    その他
    defiant
    defiant この記事をおすすめしました

    2024/08/23 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    AWS ALBに脆弱性 1万5000以上のアプリケーションに影響

    Miggo Securityは2024年8月20日(現地時間)、AWSのアプリケーションロードバランサー(ALB)に重大なセ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.