Bulletin-ID: AWS-2025-018
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 14.08.2025, 09:15 Uhr PDT

Beschreibung:

Amazon Elastic Container Service (Amazon ECS) ist ein vollständig verwalteter Container-Orchestrierungsdienst, mit dem Kunden containerisierte Anwendungen einfach bereitstellen, verwalten und skalieren können. Der Amazon-ECS-Container-Agent bietet eine Introspektions-API, die Informationen über den Gesamtzustand des Amazon-ECS-Agenten und der Container-Instances bereitstellt.

Wir haben CVE-2025-9039 identifiziert, ein Problem im Amazon-ECS-Agenten. Unter bestimmten Umständen kann dieses Problem dazu führen, dass ein Introspektionsserver von einer anderen Instance außerhalb des Hosts aufgerufen werden kann, wenn die Instances derselben Sicherheitsgruppe angehören oder wenn ihre Sicherheitsgruppen eingehende Verbindungen zum Introspektionsserver-Port zulassen. Dieses Problem betrifft keine Instances, bei denen die Option, den Zugriff auf den Introspektionsserver außerhalb des Hosts zu erlauben, auf „false“ gesetzt ist.

Betroffene Versionen:

ECS Agent Version 0.0.3 bis 1.97.0

Lösung:

Dieses Problem wurde in ECS Agent Version 1.97.1 behoben. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass jeder geforkte oder abgeleitete Code gepatcht wird, um die neuen Fehlerbehebungen zu integrieren.

Umgehungslösungen:

Für Kunden, die nicht auf das neueste AMI aktualisieren können, besteht die Möglichkeit, die Amazon-EC2-Sicherheitsgruppen zu ändern, um den eingehenden Zugriff auf den Introspection-Server-Port (51678) zu beschränken.

Verweise:

• CVE-2025-9039
• GHSA-wm7x-ww72-r77q
  

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.