Sterownik Amazon Athena ODBC przed wersją 2.1.0.0 nieprawidłowo waliduje certyfikaty podczas łączenia z zewnętrznymi dostawcami tożsamości (identity providers), co może umożliwić atakującemu przeprowadzenie ataku man-in-the-middle. Podatność jest krytyczna, ponieważ może prowadzić do przechwycenia poświadczeń uwierzytelniających.
▸ Pokaż oryginał (EN)
Improper certificate validation in the identity provider connection components in Amazon Athena ODBC driver before 2.1.0.0 might allow a man-in-the-middle threat actor to intercept authentication credentials due to insufficient default transport security when connecting to identity providers. This only applies to connections with external identity providers and does not apply to connections with Athena. To remediate this issue, users should upgrade to version 2.1.0.0.
Błąd wynika z niewystarczającego domyślnego zabezpieczenia transportu (CWE-295 — improper certificate validation) w komponentach odpowiedzialnych za połączenie z dostawcami tożsamości. Atakujący znajdujący się na ścieżce komunikacji sieciowej (man-in-the-middle) może podszyć się pod prawidłowy serwer identity provider, ponieważ sterownik nie weryfikuje poprawnie certyfikatu TLS serwera. W efekcie możliwe jest przechwycenie przesyłanych poświadczeń uwierzytelniających. Podatność dotyczy wyłącznie połączeń z zewnętrznymi dostawcami tożsamości — połączenia bezpośrednio z Amazon Athena nie są narażone.
Atakujący może przechwycić poświadczenia uwierzytelniające użytkowników (np. tokeny, hasła) przesyłane do zewnętrznych dostawców tożsamości, co może prowadzić do nieautoryzowanego dostępu do zasobów chronionych tymi poświadczeniami.
Należy zaktualizować sterownik Amazon Athena ODBC do wersji 2.1.0.0 lub nowszej. Paczki instalacyjne dla systemów Linux, macOS (Intel i ARM) oraz Windows są dostępne w referencjach producenta (AWS Security Bulletin 2026-013).
Amazon Athena ODBC Driver w wersjach przed 2.1.0.0 na platformach Linux, macOS (Intel i ARM) oraz Microsoft Windows — wyłącznie w konfiguracjach korzystających z zewnętrznych dostawców tożsamości (identity providers).
Podatność dotyczy wyłącznie połączeń z zewnętrznymi dostawcami tożsamości (np. SSO/SAML/OIDC). Połączenia bezpośrednie z Amazon Athena nie są narażone — co producent explicite potwierdza w opisie.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAmazon Athena Odbc
APPAmazon< 2.1.0.0Apple macOS
OSApplewszystkie wersjeLinux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach