Date de publication : 31/03/2025, 8 h 10 (heure du Pacifique)
Description
L’interface de ligne de commande du modèle d’application sans serveur AWS (AWS SAM CLI) est un outil CLI open source qui aide les développeurs Lambda à créer et développer des applications Lambda localement sur leurs ordinateurs à l’aide de Docker.
Nous avons identifié les problèmes suivants dans AWS SAM CLI. Un correctif a été publié et nous recommandons aux utilisateurs de mettre à niveau vers la dernière version pour résoudre ces problèmes. En outre, les utilisateurs doivent s’assurer que tout code bifurqué ou dérivé est corrigé pour intégrer les nouveaux correctifs.
- CVE-2025-3047 : lorsque vous exécutez le processus de compilation d’AWS SAM CLI avec Docker et que des liens symboliques sont inclus dans les fichiers de compilation, l’environnement de conteneur permet à un utilisateur d’accéder à des fichiers privilégiés sur l’hôte en tirant parti des autorisations élevées accordées à l’outil. Un utilisateur pourrait tirer parti des autorisations élevées pour accéder à des fichiers restreints via des liens symboliques et les copier vers un emplacement plus permissif du conteneur. Ce problème concerne AWS SAM CLI v1.132.0 et versions antérieures et a été résolu dans la version 1.133.0. Pour conserver le comportement précédent après la mise à niveau et permettre la résolution des liens symboliques sur la machine hôte, utilisez le paramètre explicite « --mount-symlinks ».
- CVE-2025-3048 : après avoir terminé un build qui inclut des liens symboliques avec AWS SAM CLI, le contenu de ces liens symboliques est copié dans le cache de l’espace de travail local sous forme de fichiers ou de répertoires normaux. Par conséquent, un utilisateur qui n’a pas accès à ces liens symboliques en dehors du conteneur Docker y aurait maintenant accès via l’espace de travail local. Ce problème concerne AWS SAM CLI v1.133.0 et versions antérieures et a été résolu dans la version 1.134.0. Après la mise à niveau, les utilisateurs doivent refaire un build de leurs applications en utilisant la commande sam build --use-container pour mettre à jour les liens symboliques.
Versions concernées : AWS SAM CLI v1.133.0 et versions antérieures
Résolution :
CVE-2025-3047 a été corrigé dans la version 1.133.0 et CVE-2025-3048 a été corrigé dans la version 1.134.0. Les utilisateurs doivent mettre à jour vers la dernière version et s’assurer que tout code dérivé ou bifurqué est corrigé pour incorporer les nouveaux correctifs.
Références :
Confirmation :
Nous tenons à remercier GitHub Security Lab pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.
Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.