发布日期:2025 年 3 月 31 日上午 08:10(太平洋夏令时)
说明
AWS Serverless Application Model Command Line Interface(AWS SAM CLI)是一款开源的命令行工具,可帮助 Lambda 开发人员使用 Docker 在本地计算机上构建和开发 Lambda 应用程序。
我们在 AWS SAM CLI 中发现了以下问题。目前已发布修复程序,建议用户升级到最新版本以解决这些问题。此外,用户应确保对任何派生代码或分支代码进行修补,以纳入新的修复程序。
- CVE-2025-3047:当使用 Docker 运行 AWS SAM CLI 构建过程,且构建文件中包含符号链接时,容器环境会允许用户利用授予该工具的提升权限来访问主机上的特权文件。用户可以利用提升权限,通过符号链接访问受限文件,并将其复制到容器中权限更宽松的位置。此问题影响版本 1.132.0 及更低版本的 AWS SAM CLI,并且已在版本 1.133.0 中得到解决。要在升级后保留先前的行为并允许在主机上解析符号链接,请使用显式的“--mount-symlinks”参数。
- CVE-2025-3048:在使用包含符号链接的 AWS SAM CLI 完成构建后,这些符号链接的内容会作为常规文件或目录复制到本地工作区的缓存中。因此,原本在 Docker 容器外无法访问这些符号链接的用户,现在可以通过本地工作区访问它们。此问题影响版本 1.133.0 及更低版本的 AWS SAM CLI,并且已在版本 1.134.0 中得到解决。升级后,用户必须使用 sam build --use-container 重新构建其应用程序,以更新符号链接。
受影响版本:AWS SAM CLI 版本 1.133.0 及更低版本
解决方法:
CVE-2025-3047 已在版本 1.133.0 中得到解决,CVE-2025-3048 已在版本 1.134.0 中得到解决。用户应升级到最新版本,并确保对任何派生代码或分支代码进行修补,以纳入新的修复程序。
参考:
致谢:
我们要感谢 GitHub Security Lab 通过协调漏洞披露流程针对这个问题进行的合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。