Passer au contenu principal

Problème avec la CLI AWS CDK et les plug-ins d’authentification personnalisés (CVE-2025-2598)

Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 2025/03/21 07:00 PDT

Description

AWS a identifié CVE-2025-2598, un problème dans l'interface de ligne de commande (AWS CDK) de l'interface de ligne de commande (AWS CDK CLI), versions 2.172.0 à 2.178.1. L'AWS CDK CLI est un outil de ligne de commande qui déploie des applications AWS CDK sur des comptes AWS.

Lorsque les clients exécutent des commandes de CLI AWS CDK avec des plug-ins d’authentification et configurent ces plug-ins pour renvoyer des informations d’identification temporaires en incluant une propriété d’expiration, ce problème peut potentiellement entraîner l’impression des informations d’identification AWS récupérées par le plug-in sur la sortie de la console. Tout utilisateur ayant accès au système où la CLI CDK a été exécutée aura accès à cette sortie. Nous avons publié un correctif pour ce problème et recommandons aux clients de passer à la version 2.178.2 ou ultérieure pour résoudre ce problème. Les plug-ins qui omettent la propriété d’expiration ne sont pas affectés.

Pour vérifier si les informations d’identification ont été imprimées sur la sortie de la console, les clients peuvent effectuer les actions suivantes :

  1. Identifier les exécutions de la CLI CDK qui ont commencé après le 6 décembre 2024
  2. Examiner les journaux de ces exécutions pour y trouver des déclarations similaires à celles qui suivent :
    {
    accessKeyId: '<secret>',
    secretAccessKey: '<secret>',
    sessionToken: '<secret>',
    expiration: <date>,
    '$source' : <objet. >
    }
  3. Si vous identifiez des informations d’identification, celles-ci peuvent être consultées par les utilisateurs qui ont accès à la console sur laquelle la CLI CDK a été exécutée. À ce titre, nous vous recommandons de prendre les mesures appropriées, qui peuvent inclure (mais sans s’y limiter) :
     - Révoquez toutes les informations d'identification temporaires obtenues à partir du rôle AWS IAM utilisé par le plug-in.
     - Limitez le nombre d'utilisateurs ayant accès à la sortie de la console.
     - Faites alterner les informations d'identification de longue durée de l'utilisateur AWS IAM utilisées par le plug-in (le cas échéant).

Consultez notre «  Bibliothèque de l'interface de ligne de commande AWS CDK  » pour plus d'informations sur les plug-ins d'identification personnalisés.

Versions concernées : 2.172.0 à 2.178.1

Résolution :

Le problème a été résolu dans la version 2.178.2. Nous recommandons de mettre à jour vers la dernière version et de s’assurer que tout code dérivé ou forké est patché pour incorporer les nouveaux correctifs.

Références :

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.