发布日期:2025 年 3 月 21 日上午 07:00(太平洋夏令时)
说明
AWS 发现了 CVE-2025-2598,这是 AWS Cloud Development Kit(AWS CDK)命令行接口(AWS CDK CLI)版本 2.172.0 至 2.178.1 中的一个问题。AWS CDK CLI 是一款命令行工具,用于将 AWS CDK 应用程序部署到 AWS 账户上。
当客户使用凭证插件运行 AWS CDK CLI 命令,并将这些插件配置为通过包含过期属性返回临时凭证时,此问题可能会导致插件获取的 AWS 凭证打印到控制台输出中。任何有权访问 CDK CLI 运行位置的用户都可以访问此输出。我们已针对此问题发布了修复程序,建议客户升级到版本 2.178.2 或更高版本以解决此问题。不包含过期属性的插件不受此影响。
要验证凭证是否已打印到控制台输出中,客户可以执行以下操作:
- 找出 2024 年 12 月 6 日之后启动的运行 CDK CLI 的执行。
- 扫描这些执行的所有日志,找到与以下内容类似的语句:
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - 如果您找到这些凭证,则任何有权访问运行 CDK CLI 的控制台的用户都可以查看它们。因此,我们建议您采取适当的措施,包括但不限于:
- 撤销从插件使用的 AWS IAM 角色获取的所有临时凭证。
- 限制有权访问控制台输出的用户。
- 轮换插件使用的 AWS IAM 用户的长期凭证(如果有)。
有关自定义凭证插件的更多信息,请参阅我们的“AWS CDK CLI 库”。
受影响的版本:2.172.0 到 2.178.1
解决方法:
该问题已在 2.178.2 版本中得到解决。建议您升级到最新版本,并确保所有分叉代码或派生代码都已打补丁以包含新的修复程序。
参考:
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。