Veröffentlichung: 31.03.2025, 08:10 Uhr PDT
Beschreibung
Das AWS Serverless Application Model Command Line Interface (AWS SAM CLI) ist ein Open-Source-CLI-Tool, das Lambda-Entwicklern dabei hilft, Lambda-Anwendungen mithilfe von Docker lokal auf ihren Computern zu erstellen und zu entwickeln.
Wir haben die folgenden Probleme mit AWS SAM CLI identifiziert. Eine Fehlerbehebung wurde veröffentlicht und wir empfehlen Benutzern, auf die neueste Version zu aktualisieren, um diese Probleme zu beheben. Außerdem sollten Benutzer sicherstellen, dass bei jedem abgezweigten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.
- CVE-2025-3047: Wenn der AWS-SAM-CLI-Build-Prozess mit Docker ausgeführt wird und in den Build-Dateien Symlinks enthalten sind, ermöglicht die Container-Umgebung Benutzern, mithilfe der dem Tool gewährten erweiterten Berechtigungen auf privilegierte Dateien auf dem Host zuzugreifen. Benutzer könnten die erweiterten Berechtigungen nutzen, um über Symlinks auf eingeschränkte Dateien zuzugreifen und diese an eine Stelle im Container zu kopieren, für die geringere Einschränkungen gelten. Dieses Problem betrifft AWS SAM CLI ≤ v1.132.0 und wurde in v1.133.0 behoben. Um das vorherige Verhalten nach dem Upgrade beizubehalten und die Auflösung von Symlinks auf dem Host-Computer zu ermöglichen, verwenden Sie den expliziten Parameter „--mount-symlinks“.
- CVE-2025-3048: Nach Fertigstellung eines Builds mit AWS SAM CLI, der Symlinks enthält, wird der Inhalt dieser Symlinks als reguläre Dateien oder Verzeichnisse in den Cache des lokalen Workspace kopiert. Dadurch hätten Benutzer, die außerhalb des Docker-Containers keinen Zugriff auf diese Symlinks haben, über den lokalen Workspace Zugriff. Dieses Problem betrifft AWS SAM CLI ≤ v1.133.0 und wurde in v1.134.0 behoben. Nach dem Upgrade müssen Benutzer ihre Anwendungen mit „sam build --use-container“ neu erstellen, um die Symlinks zu aktualisieren.
Betroffene Version: <= AWS SAM CLI v1.133.0
Lösung:
CVE-2025-3047 wurde in Version 1.133.0 und CVE-2025-3048 in Version 1.134.0 behoben. Benutzer sollten auf die neueste Version aktualisieren und sicherstellen, dass bei jedem abgezweigten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.
Referenzen:
Danksagung:
Wir möchten dem GitHub Security Lab für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.