ID du bulletin : AWS-2025-018
Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 14/08/2025, 9 h 15 (heure du Pacifique)

Description :

Amazon Elastic Container Service (Amazon ECS) est un service d’orchestration de conteneurs entièrement géré qui permet aux clients de déployer, de gérer et de mettre à l’échelle des applications conteneurisées. L’agent de conteneur Amazon ECS fournit une API d’introspection qui fournit des informations sur l’état général de l’agent Amazon ECS et des instances de conteneur.

Nous avons identifié le problème CVE-2025-9039 dans l’agent Amazon ECS. Dans certaines conditions, ce problème peut permettre à une autre instance d’accéder à un serveur d’introspection hors hôte si les instances appartiennent au même groupe de sécurité ou si leurs groupes de sécurité autorisent les connexions entrantes vers le port du serveur d’introspection. Ce problème n’affecte pas les cas où l’option permettant d’autoriser l’accès hors hôte au serveur d’introspection est définie sur « false ».

Versions affectées :

Versions 0.0.3 à 1.97.0 de l’agent ECS

Résolution :

Ce problème a été résolu dans la version 1.97.1 de l’agent ECS. Nous recommandons de mettre à jour vers la dernière version et de veiller à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.

Solutions de contournement :

Les clients qui ne peuvent pas effectuer la mise à jour vers la dernière AMI peuvent modifier les groupes de sécurité Amazon EC2 afin de restreindre l’accès entrant au port du serveur d’introspection (51678).

Références :

• CVE-2025-9039
• GHSA-wm7x-ww72-r77q
  

Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.