@hulumi/baseline: Vulnerabilidades de imutabilidade no S3 de auditoria corrigidas
O bucket S3 criado pelo AccountFoundation para logs de auditoria do CloudTrail e AWS Config tinha três vulnerabilidades: (1) Object Lock desabilitado no tier startup-hardened, (2) forceDestroy podia ser true permitindo exclusão do bucket com logs, (3) tier sandbox pulava todas as proteções de imutabilidade.
O que mudou
O bucket S3 criado pelo AccountFoundation para logs de auditoria do CloudTrail e AWS Config tinha três vulnerabilidades: (1) Object Lock desabilitado no tier startup-hardened, (2) forceDestroy podia ser true permitindo exclusão do bucket com logs, (3) tier sandbox pulava todas as proteções de imutabilidade. Corrigido na 1.4.0: SecureBucket recusa forceDestroy no tier startup-hardened, sempre emite CloudTrail-Lake EventDataStore e adiciona política deny-s3:DeleteObject* para prefixos de auditoria.
Quem isso afeta
Todos os usuários de @hulumi/baseline < 1.4.0 que usam AccountFoundation, especialmente os que dependem dos tiers startup-hardened ou sandbox para imutabilidade de logs de auditoria.
O que fazer hoje
Atualize para @hulumi/[email protected] imediatamente.