CVE-2018-19981

CVE-2018-19981

A cleartext-credential issue was discovered in the Amazon AWS SDK 2.8.5 for Android. This SDK uses Android SharedPreferences to store AWS STS Temporary Credentials retrieved by AWS Cognito Identity Provider. If a Mobile Application (MA) uses AWS Cognito in the authentication or authorization process, the AWS SDK will store these credentials in cleartext inside the "com.amazonaws.android.auth" SharedPref. An attacker can use these credentials to create and sign valid AWS Signature v4 requests, and

4 апреля 2019, четверг 22:00 Оставить комментарий Источник

Похожие материалы

Как работать с ошибками правильно и сделать удобным AWS SDK JS

Эта статья станет интересной не только специалистам по TypeScript, но и всем разработчикам, ищущим лучшие практики работы с ошибками в современном программировании.Вы узнаете, почему традиционный подход к работе с ошибками может тормозить разработку и как правильное разделение…

12 февраля 2025, среда 13:35 Источник
Ищем ошибки в исходном коде Amazon Web Services SDK для .NET

Приветствую всех любителей покритиковать чужой код. :) Сегодня в нашей лаборатории новый материал для исследования — исходный код проекта AWS SDK для .NET. В своё время мы писали статью о проверке AWS SDK для C++. Тогда не нашлось ничего особо интересного. Посмотрим, чем нас порадует .NET версия AWS SDK. Хорошая возможность в очередной раз продемонстрировать возможности анализатора PVS-Studio, а также сделать мир немного совершеннее. Читать дальше →

25 января 2019, пятница 18:30 Источник
CVE-2023-30610

aws-sigv4 is a rust library for low level request signing in the aws cloud platform. The `aws_sigv4::SigningParams` struct had a derived `Debug` implementation. When debug-formatted, it would include a user's AWS access key, AWS secret key, and security token in plaintext. When TRACE-level logging is enabled for an SDK, `SigningParams` is printed, thereby revealing those credentials to anyone with access to logs. All users of the AWS SDK for Rust who enabled TRACE-level logging, either globally (e.g.…

20 апреля 2023, четверг 2:00 Источник

CVE-2018-19981

Комментарии

Похожие материалы

Как работать с ошибками правильно и сделать удобным AWS SDK JS

﻿Ищем ошибки в исходном коде Amazon Web Services SDK для .NET

CVE-2023-30610

Ищем ошибки в исходном коде Amazon Web Services SDK для .NET