Passa al contenuto principale

Problema con l'interfaccia a riga di comando di AWS CDK e i plugin per credenziali personalizzate (CVE-2025-2598)

Ambito: AWS
Tipo di contenuto: Importante (richiede attenzione)
Data di pubblicazione: 21/03/2025:00 PDT

Descrizione

AWS ha identificato CVE-2025-2598, un problema nell'interfaccia a riga di comando (AWS CDK) di AWS Cloud Development Kit (AWS CDK) (AWS CDK CLI), versioni da 2.172.0 a 2.178.1. L'interfaccia a riga di comando di AWS CDK è uno strumento a riga di comando che distribuisce le applicazioni AWS CDK sugli account AWS.

Quando i clienti eseguono comandi tramite la CLI di AWS CDK con plugin delle credenziali, e configurano tali plugin per restituire credenziali temporanee includendo una proprietà di scadenza, questo problema può potenzialmente comportare la stampa delle credenziali AWS recuperate dal plugin sull'output della console. Chiunque abbia accesso alla posizione in cui è stata eseguita la CLI di AWS CDK avrà accesso a questo output. Abbiamo rilasciato una correzione per questo problema e consigliamo ai clienti di eseguire l'aggiornamento alla versione 2.178.2 o successiva per risolvere il problema. I plugin che omettono la proprietà di scadenza non sono influenzati dal problema.

Per verificare se le credenziali sono state stampate sull'output della console, i clienti possono eseguire le seguenti azioni:

  1. Identificare le esecuzioni che eseguono la CLI di AWS CDK avviate dopo il 6 dicembre 2024.
  2. Scansionare tutti i log di tali esecuzioni per individuare istruzioni simili alle seguenti:
    {
    accessKeyId: '<secret>',
    secretAccessKey: '<secret>',
    sessionToken: '<secret>',
    expiration: <date>,
    '$source': <oggetto. '$source':
    }
  3. Se si identificano le credenziali, queste possono essere visualizzate dagli utenti che hanno accesso alla console su cui è stata eseguita la CLI di AWS CDK. Pertanto, consigliamo di intraprendere le azioni appropriate, che possono includere (ma non sono limitate a):
     - Revoca tutte le credenziali temporanee ottenute dal ruolo AWS IAM utilizzato dal plug-in.
     - Limita gli utenti che hanno accesso all'uscita della console.
     - Ruota le credenziali di lunga durata dell'utente AWS IAM utilizzato dal plug-in (se presenti).

Fai riferimento alla nostra "AWS CDK CLI Library" per ulteriori informazioni sui plug-in di credenziali personalizzati.

Versioni interessate: dalla 2.172.0 alla 2.178.1

Risoluzione:

Il problema è stato risolto nella versione 2.178.2. Ti consigliamo di eseguire l'aggiornamento alla versione più recente e di assicurarti che qualsiasi codice diramato o derivato sia aggiornato per incorporare le nuove correzioni.

Riferimenti:

Per eventuali domande o dubbi sulla sicurezza, invia un'e-mail all'indirizzo aws-security@amazon.com.