Bulletin-ID: AWS-2025-017
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 13.08.2025, 10:00 Uhr PDT

Beschreibung:

Amazon EMR ist eine verwaltete Cluster-Plattform, welche die Ausführung von Big-Data-Frameworks in AWS zur Verarbeitung und Analyse großer Datenmengen vereinfacht.

Wir konnten folgendes Problem in der Komponente Amazon EMR Secret Agent identifizieren: CVE-2025-8904. Die Secret-Agent-Komponente dient der sicheren Speicherung von Geheimnissen und der Verteilung von Geheimnissen an andere Amazon-EMR-Komponenten und -Anwendungen. Bei der Verwendung von Amazon-EMR-Clustern mit einer oder mehreren Lake-Formation-, Apache-Ranger-, Laufzeitrollen- oder Identity-Center-Features, die diese Komponente verwenden, erstellt Secret Agent eine keytab-Datei mit Kerberos-Anmeldeinformationen. Diese Datei wird im Verzeichnis /tmp/ gespeichert. Ein Benutzer, der Zugriff auf dieses Verzeichnis und ein anderes Konto hat, kann möglicherweise die Schlüssel entschlüsseln und höhere Berechtigungen erlangen.

Wir haben einen Fix implementiert, der /tmp/ als Staging-Verzeichnis für Kerberos-Zugangsdaten entfernt und damit die Möglichkeit des Zugriffs von Benutzern auf die keytab-Datei beseitigt. Das Update ist in Amazon EMR Version 7.5 und höher verfügbar.

Betroffene Versionen:

Amazon EMR Version 6.10 bis 7.4

Lösung:

Dieses Problem wurde mit Amazon EMR Version 7.5 und später behoben. Wir empfehlen, auf die neueste Version zu aktualisieren, um die neuen Korrekturen zu übernehmen.

Für Kunden mit Amazon-EMR-Versionen 6.10 bis 7.4 empfehlen wir dringend, das Bootstrap-Skript und die RPM-Dateien mit dem Fix auszuführen, der an dieser Stelle bereitgestellt wird.

Verweise:

• CVE-2025-8904

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.