ID du bulletin : AWS-2025-017
Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 13/08/2025, 10 h (heure du Pacifique)

Description :

Amazon EMR est une plateforme de cluster géré qui simplifie l’exécution de frameworks big data sur AWS afin de traiter et d’analyser de grandes quantités de données.

Nous avons identifié le problème CVE-2025-8904 dans le composant Amazon EMR Secret Agent. Le composant Secret Agent stocke les secrets de façon sûre et les distribue à d’autres composants et applications Amazon EMR. Lorsque vous utilisez des clusters Amazon EMR avec un ou plusieurs rôles Lake Formation, Apache Ranger ou d’exécution, ou une fonctionnalité Identity Center utilisant ce composant, Secret Agent crée un fichier keytab contenant les informations d’identification Kerberos. Ce fichier est stocké dans le répertoire /tmp/. Un utilisateur ayant accès à ce répertoire et à un autre compte peut potentiellement déchiffrer les clés et accéder à des privilèges plus élevés.

Nous avons implémenté un correctif qui supprime /tmp/ en tant que répertoire intermédiaire pour les informations d’identification Kerberos, éliminant ainsi la possibilité pour les utilisateurs d’accéder au fichier keytab. Le correctif est disponible dans les versions 7.5 et ultérieures d’Amazon EMR.

Versions affectées :

Amazon EMR versions 6.10 à 7.4

Résolution :

Ce problème a été résolu dans les versions 7.5 et ultérieures d’Amazon EMR. Nous vous recommandons de passer à la dernière version pour intégrer les nouveaux correctifs.

Pour les clients utilisant les versions 6.10 à 7.4 d’Amazon EMR, nous recommandons vivement d’exécuter le script d’amorçage et les fichiers RPM avec le correctif fourni à l’emplacement.

Références :

• CVE-2025-8904

Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.