Überspringen zum Hauptinhalt

Problem mit der AWS CDK CLI und benutzerdefinierten Plugins für Anmeldeinformationen (CVE-2025-2598)

Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 2025/03/21 07:00 PDT

Beschreibung

AWS identifizierte CVE-2025-2598, ein Problem in der Befehlszeilenschnittstelle (AWS CDK CLI) des AWS Cloud Development Kit (AWS CDK), Versionen 2.172.0 bis 2.178.1. Die AWS CDK CLI ist ein Befehlszeilentool, das AWS CDK-Anwendungen auf AWS-Konten bereitstellt.

Wenn Kunden AWS-CDK-CLI-Befehle mit Plugins für Anmeldeinformationen ausführen und diese Plugins so konfigurieren, dass sie temporäre Anmeldeinformationen zurückgeben, indem sie eine Ablaufeigenschaft einfügen, kann dieses Problem möglicherweise dazu führen, dass die vom Plugin abgerufenen AWS-Anmeldeinformationen in der Konsolenausgabe angezeigt werden. Jeder Benutzer mit Zugriff auf den Ort, an dem die CDK CLI ausgeführt wurde, kann auf diese Ausgabe zugreifen. Wir haben eine Lösung für dieses Problem veröffentlicht und empfehlen Kunden, auf Version 2.178.2 oder höher zu aktualisieren, um dieses Problem zu beheben. Plugins, die die Ablaufeigenschaft auslassen, sind nicht betroffen.

Um zu überprüfen, ob die Anmeldeinformationen auf der Konsolenausgabe gedruckt wurden, können Kunden folgende Maßnahmen ergreifen:

  1. Identifizieren Sie Ausführungen, die CDK CLI ausführen und nach dem 6. Dezember 2024 gestartet wurden.
  2. Durchsuchen Sie alle Protokolle dieser Ausführungen, um Aussagen zu finden, die der folgenden ähneln:
    {
    accessKeyId: '<secret>',
    secretAccessKey: '<secret>',
    sessionToken: '<secret>',
    expiration: <date>,
    '$quelle': <Objekt. '$ quelle':
    }
  3. Wenn Sie Anmeldeinformationen identifizieren, können diese von Benutzern eingesehen werden, die auf die Konsole zugreifen können, auf der die CDK-CLI ausgeführt wurde. Daher empfehlen wir Ihnen, geeignete Maßnahmen zu ergreifen, die Folgendes umfassen können (aber nicht darauf beschränkt sind):
     — Widerrufen Sie alle temporären Anmeldeinformationen, die Sie von der vom Plugin verwendeten AWS-IAM-Rolle erhalten haben.
     - Beschränken Sie die Benutzer, die Zugriff auf die Konsolenausgabe haben.
     - Rotieren Sie die langlebigen Anmeldeinformationen des AWS-IAM-Benutzers, der vom Plugin verwendet wird (falls vorhanden).

Weitere Informationen zu Plugins für benutzerdefinierte Anmeldeinformationen finden Sie in unserer "AWS CDK CLI Library“.

Betroffene Versionen: 2.172.0 bis 2.178.1

Lösung:

Das Problem wurde in Version 2.178.2 behoben. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass jeder geforkte oder abgeleitete Code gepatcht wird, um die neuen Fehlerbehebungen zu integrieren.

Referenzen:

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.