公告 ID：AWS-2025-018
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2025 年 8 月 14 日上午 09:15（太平洋夏令时）

描述：

Amazon Elastic Container Service（Amazon ECS）是一项完全托管的容器编排服务，可帮助客户轻松部署、管理和扩展容器化的应用程序。Amazon ECS 容器代理提供了一个自检 API，可提供有关 Amazon ECS 代理和容器实例整体状态的信息。

我们发现了 CVE-2025-9039，这是 Amazon ECS 代理中的问题。在特定条件下，如果实例处于同一安全组，或其安全组允许与自检服务器端口的入站连接，该问题可能导致其他实例在主机外访问该自检服务器。此问题不会对已将“允许在主机外访问自检服务器”选项设置为“false”的实例产生影响。

受影响的版本：

ECS 代理版本 0.0.3 到 1.97.0

解决方法：

该问题已在 ECS 代理版本 1.97.1 中得到修复。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

无法更新至最新 AMI 的客户可以修改 Amazon EC2 安全组，以限制对自检服务器端口（51678）的传入访问。

参考：

• CVE-2025-9039
• GHSA-wm7x-ww72-r77q
  

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。