Veröffentlichung: 21.03.2025, 07:00 Uhr PDT
Beschreibung
AWS hat CVE-2025-2598 identifiziert, ein Problem in der Befehlszeilenschnittstelle (CLI) des AWS Cloud Development Kit (AWS CDK) in den Versionen 2.172.0 bis 2.178.1. Die AWS CDK CLI ist ein Tool für die Befehlszeile, das AWS CDK-Anwendungen auf AWS-Konten bereitstellt.
Wenn Kunden AWS-CDK-CLI-Befehle mit Plugins für Anmeldeinformationen ausführen und diese Plugins so konfigurieren, dass sie temporäre Anmeldeinformationen zurückgeben, indem sie eine Ablaufeigenschaft einfügen, kann dieses Problem möglicherweise dazu führen, dass die vom Plugin abgerufenen AWS-Anmeldeinformationen in der Konsolenausgabe angezeigt werden. Jeder Benutzer mit Zugriff auf den Ort, an dem die CDK CLI ausgeführt wurde, kann auf diese Ausgabe zugreifen. Wir haben eine Lösung für dieses Problem veröffentlicht und empfehlen Kunden, auf Version 2.178.2 oder höher zu aktualisieren, um dieses Problem zu beheben. Plugins, die die Ablaufeigenschaft auslassen, sind nicht betroffen.
Um zu überprüfen, ob die Anmeldeinformationen auf der Konsolenausgabe gedruckt wurden, können Kunden folgende Maßnahmen ergreifen:
- Identifizieren Sie Ausführungen, die CDK CLI ausführen und nach dem 6. Dezember 2024 gestartet wurden.
- Durchsuchen Sie alle Protokolle dieser Ausführungen, um Aussagen zu finden, die der folgenden ähneln:
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - Wenn Sie Anmeldeinformationen identifizieren, können diese von Benutzern eingesehen werden, die auf die Konsole zugreifen können, auf der die CDK-CLI ausgeführt wurde. Daher empfehlen wir Ihnen, geeignete Maßnahmen zu ergreifen, die Folgendes umfassen können (aber nicht darauf beschränkt sind):
- Widerrufen Sie alle temporären Anmeldeinformationen, die Sie über die AWS-IAM-Rolle erhalten haben, die vom Plugin verwendet wird.
- Beschränken Sie die Anzahl der Benutzer, die auf die Konsolenausgabe zugreifen können.
- Rotieren Sie die langlebigen Anmeldeinformationen des AWS-IAM-Benutzers, der vom Plugin verwendet wird (falls vorhanden).
Weitere Informationen zu benutzerdefinierten Plugins für Anmeldeinformationen finden Sie in unserer „AWS CDK CLI Library“.
Betroffene Versionen: 2.172.0 bis 2.178.1
Lösung:
Das Problem wurde in Version 2.178.2 behoben. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass jeder geforkte oder abgeleitete Code gepatcht wird, um die neuen Fehlerbehebungen zu integrieren.
Referenzen:
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.