CVE-2024-41178

Apache Arrow Rust Object Store, versões 0.10.1 e anteriores

O problema está relacionado à exposição de credenciais temporárias nos logs ao usar AWS WebIdentityTokens com o crate object store. Em determinadas condições de erro, os logs podem conter o token OIDC passado para AssumeRoleWithWebIdentity, permitindo que alguém com acesso aos logs se faça passar por essa identidade até que o token OIDC expire. Normalmente, os tokens OIDC são válidos por até uma hora, embora isso varie dependendo do emissor.

Para o Apache Arrow Rust Object Store versão 0.10.1 e anteriores, recomenda-se que os usuários utilizem um mecanismo de autenticação AWS diferente, desativem o registro em logs ou atualizem para a versão 0.10.2, que corrige esse problema. Como solução alternativa temporária, considere desativar o registro de erros que incluam a URL completa com credenciais para minimizar o risco de exploração. Restrinja o acesso aos logs para impedir que indivíduos não autorizados obtenham o token OIDC.