AWS SAM CLI 出现问题（CVE-2025-3047、CVE-2025-3048）

范围：AWS
内容类型：重要提示（需要注意）
发布日期：太平洋夏令时间 2025/03/31 上午 08:10

说明

AWS 无服务器应用程序模型命令行接口 (AWS SAM CLI) 是一种开源 CLI 工具，可帮助 Lambda 开发人员使用 Docker 在其计算机上本地构建和开发 Lambda 应用程序。

我们在 AWS SAM CLI 中发现了以下问题。修复程序已发布，我们建议用户升级到最新版本以解决这些问题。此外，用户应确保对任何派生代码或分支代码进行修补，以纳入新的修复程序。

CVE-2025-3047：当使用 Docker 运行 AWS SAM CLI 构建过程，且构建文件中包含符号链接时，容器环境会允许用户利用授予该工具的提升权限来访问主机上的特权文件。用户可以利用提升权限，通过符号链接访问受限文件，并将其复制到容器中权限更宽松的位置。此问题影响版本 1.132.0 及更低版本的 AWS SAM CLI，并且已在版本 1.133.0 中得到解决。要在升级后保留先前的行为并允许在主机上解析符号链接，请使用明确的 “--mount- symlinks” 参数。
CVE-2025-3048：在使用包含符号链接的 AWS SAM CLI 完成构建后，这些符号链接的内容会作为常规文件或目录复制到本地工作区的缓存中。因此，原本在 Docker 容器外无法访问这些符号链接的用户，现在可以通过本地工作区访问它们。此问题影响版本 1.133.0 及更低版本的 AWS SAM CLI，并且已在版本 1.134.0 中得到解决。升级后，用户必须使用 sam build --use-container 重新构建其应用程序，以更新符号链接。

受影响的版本：<= AWS SAM CLI v1.133.0

分辨率：

CVE-2025-3047 已在版本 1.133.0 中得到解决，CVE-2025-3048 已在版本 1.134.0 中得到解决。用户应升级到最新版本，并确保对任何派生代码或分支代码进行修补，以纳入新的修复程序。

参考：

致谢：

我们要感谢 GitHub Security Lab 通过协调漏洞披露流程针对这个问题进行的合作。

了解