Уязвимость вызова AssumeRoleWithWebIdentity службы Security Token Service (AWS STS) единого API для взаимодействия со службами хранения объектов и локальными файлами Apache Arrow Rust Object Store связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации путем записи в журнал ошибки запроса с URL-адресом и учетными данными
Использование рекомендаций:
https://lists.apache.org/thread/3t0povdppnt2czv6crlsqhvyko93kcrg
https://github.com/apache/arrow-rs/releases/tag/object_store_0.10.2
https://crates.io/crates/object_store/versions
Компенсирующие меры:
- использование другого механизма аутентификации AWS;
- отключение ведения журнала.
| Балл | 7.8 — высокая опасность |