Date de publication : 21/03/2025, 7 h (heure du Pacifique)
Description
AWS a identifié CVE-2025-2598, un problème dans l’interface de ligne de commande (CLI) d’AWS Cloud Development Kit (AWS CDK), versions 2.172.0 à 2.178.1. La CLI AWS CDK est un outil de ligne de commande qui déploie des applications AWS CDK sur des comptes AWS.
Lorsque les clients exécutent des commandes de CLI AWS CDK avec des plug-ins d’authentification et configurent ces plug-ins pour renvoyer des informations d’identification temporaires en incluant une propriété d’expiration, ce problème peut potentiellement entraîner l’impression des informations d’identification AWS récupérées par le plug-in sur la sortie de la console. Tout utilisateur ayant accès au système où la CLI CDK a été exécutée aura accès à cette sortie. Nous avons publié un correctif pour ce problème et recommandons aux clients de passer à la version 2.178.2 ou ultérieure pour résoudre ce problème. Les plug-ins qui omettent la propriété d’expiration ne sont pas affectés.
Pour vérifier si les informations d’identification ont été imprimées sur la sortie de la console, les clients peuvent effectuer les actions suivantes :
- Identifier les exécutions de la CLI CDK qui ont commencé après le 6 décembre 2024
- Examiner les journaux de ces exécutions pour y trouver des déclarations similaires à celles qui suivent :
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - Si vous identifiez des informations d’identification, celles-ci peuvent être consultées par les utilisateurs qui ont accès à la console sur laquelle la CLI CDK a été exécutée. À ce titre, nous vous recommandons de prendre les mesures appropriées, qui peuvent inclure (mais sans s’y limiter) :
- Révoquer toutes les informations d’identification temporaires obtenues à partir du rôle AWS IAM utilisé par le plug-in
- Limiter le nombre d’utilisateurs ayant accès à la sortie de la console
- Renouveler les informations d’identification de longue durée de l’utilisateur AWS IAM utilisées par le plug-in (le cas échéant)
Consultez notre « Bibliothèque de CLI AWS CDK » pour plus d’informations sur les plug-ins d’authentification personnalisés.
Versions concernées : 2.172.0 à 2.178.1
Résolution :
Le problème a été résolu dans la version 2.178.2. Nous recommandons de mettre à jour vers la dernière version et de s’assurer que tout code dérivé ou forké est patché pour incorporer les nouveaux correctifs.
Références :
Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.