Data di pubblicazione: 21/03/2025 07:00 PDT
Descrizione
AWS ha identificato CVE-2025-2598, un problema nell'interfaccia a riga di comando (CLI) del Kit di sviluppo per il cloud AWS (AWS CDK) nelle versioni da 2.172.0 a 2.178.1. L'interfaccia a riga di comando di AWS CDK (CLI di AWS CDK) è uno strumento a riga di comando che implementa le applicazioni di AWS CDK negli account AWS.
Quando i clienti eseguono comandi tramite la CLI di AWS CDK con plugin delle credenziali, e configurano tali plugin per restituire credenziali temporanee includendo una proprietà di scadenza, questo problema può potenzialmente comportare la stampa delle credenziali AWS recuperate dal plugin sull'output della console. Chiunque abbia accesso alla posizione in cui è stata eseguita la CLI di AWS CDK avrà accesso a questo output. Abbiamo rilasciato una correzione per questo problema e consigliamo ai clienti di eseguire l'aggiornamento alla versione 2.178.2 o successiva per risolvere il problema. I plugin che omettono la proprietà di scadenza non sono influenzati dal problema.
Per verificare se le credenziali sono state stampate sull'output della console, i clienti possono eseguire le seguenti azioni:
- Identificare le esecuzioni che eseguono la CLI di AWS CDK avviate dopo il 6 dicembre 2024.
- Scansionare tutti i log di tali esecuzioni per individuare istruzioni simili alle seguenti:
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - Se si identificano le credenziali, queste possono essere visualizzate dagli utenti che hanno accesso alla console su cui è stata eseguita la CLI di AWS CDK. Pertanto, consigliamo di intraprendere le azioni appropriate, che possono includere (ma non sono limitate a):
- Revocare tutte le credenziali temporanee ottenute dal ruolo IAM AWS utilizzato dal plugin.
- Limitare gli utenti che hanno accesso all'output della console.
- Ruotare le credenziali di lunga durata dell'utente IAM AWS utilizzate dal plugin (se presenti).
Fai riferimento alla nostra “Libreria di AWS CDK CLI” per ulteriori informazioni sui plugin delle credenziali personalizzate.
Versioni interessate: dalla 2.172.0 alla 2.178.1
Risoluzione:
Il problema è stato risolto nella versione 2.178.2. Ti consigliamo di eseguire l'aggiornamento alla versione più recente e di assicurarti che qualsiasi codice diramato o derivato sia aggiornato per incorporare le nuove correzioni.
Riferimenti:
Per eventuali domande o dubbi sulla sicurezza, invia un'e-mail all'indirizzo aws-security@amazon.com.