公告 ID：AWS-2025-017
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2025 年 8 月 13 日上午 10:00（太平洋夏令时）

描述：

Amazon EMR 是一个托管式集群平台，可简化在 AWS 上运行大数据框架的流程，以处理和分析海量数据。

我们发现了 CVE-2025-8904，这是 Amazon EMR 密钥代理组件中的问题。密钥代理组件用于安全存储密钥以及向其他 Amazon EMR 组件和应用程序分发密钥。将 Amazon EMR 集群与一个或多个使用此组件的 Lake Formation、Apache Ranger、运行时角色或 Identity Center 功能结合使用时，Secret Agent 会创建一个包含 Kerberos 凭证的密钥表文件。此文件存储在 /tmp/ 目录中。有权访问此目录和其他账户的用户可以解密密钥并升级到更高的权限。

我们实施了一项修复程序，移除了作为 Kerberos 凭证暂存目录的 /tmp/，从而消除了用户访问密钥表文件的可能性。此修复程序在 Amazon EMR 7.5 及更高版本中可用。

受影响的版本：

Amazon EMR 版本 6.10 至 7.4

解决方法：

此问题已在 Amazon EMR 7.5 及更高版本中得到解决。我们建议升级到最新版本以纳入新的修复程序。

对于使用 Amazon EMR 版本 6.10 到 7.4 的客户，我们强烈建议运行引导脚本和 RPM 文件以及在指定位置提供的修复程序。

参考：

• CVE-2025-8904

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。