ID de boletín: AWS-2025-017
Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de publicación: 13/08/2025 10:00 PDT

Descripción:

Amazon EMR es una plataforma de clústeres administrada que simplifica la ejecución de marcos de macrodatos en AWS para procesar y analizar grandes cantidades de datos.

Identificamos el CVE-2025-8904, un problema en el componente del agente secreto de Amazon EMR. El componente de agente secreto almacena los secretos de forma segura y los distribuye a otros componentes y aplicaciones de Amazon EMR. Cuando se utilizan clústeres de Amazon EMR con una o varias funciones de Lake Formation, Apache Ranger, rol en tiempo de ejecución o Identity Center que utilizan este componente, el agente secreto crea un archivo keytab que contiene las credenciales de Kerberos. Este archivo se almacena en el directorio /tmp/. Un usuario con acceso a este directorio y a otra cuenta puede descifrar las claves y obtener privilegios superiores.

Hemos implementado una solución que elimina /tmp/ como directorio provisional para las credenciales de Kerberos, lo que elimina la posibilidad de que los usuarios accedan al archivo keytab. La corrección está disponible en la versión 7.5 y posteriores de Amazon EMR.

Versiones afectadas:

Versiones 6.10 a 7.4 de Amazon EMR

Resolución:

Este problema se ha solucionado en las versiones 7.5 y posteriores de Amazon EMR. Recomendamos actualizar a la versión más reciente para incorporar las nuevas correcciones.

Para los clientes de las versiones 6.10 a 7.4 de Amazon EMR, recomendamos encarecidamente ejecutar el script de arranque y los archivos RPM con la corrección proporcionada en la ubicación.

Referencias:

• CVE-2025-8904

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.