Data di pubblicazione: 31/03/2025 08:10 PDT
Descrizione
L'interfaccia a riga di comando del modello di applicazione serverless AWS (AWS SAM CLI) è uno strumento CLI open source che aiuta gli sviluppatori Lambda a creare e sviluppare applicazioni Lambda localmente sui propri computer utilizzando Docker.
Abbiamo identificato i seguenti problemi con lo strumento AWS SAM CLI. È stata rilasciata una correzione e consigliamo agli utenti di eseguire l'aggiornamento alla versione più recente per risolvere questi problemi. Inoltre, per incorporare le nuove correzioni, gli utenti devono assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui hanno eseguito il fork.
- CVE-2025-3047: quando si esegue il processo di compilazione dello strumento AWS SAM CLI con Docker e i collegamenti simbolici sono inclusi nei file di compilazione, l'ambiente del container consente a un utente di accedere ai file privilegiati sull'host sfruttando le autorizzazioni elevate concesse allo strumento. Un utente può sfruttare le autorizzazioni con privilegi elevati per accedere ai file con restrizioni tramite collegamenti simbolici e copiarli in una posizione più permissiva sul container. Questo problema riguarda AWS SAM CLI <= v1.132.0 ed è stato risolto nella v1.133.0. Per mantenere il comportamento precedente dopo l'aggiornamento e consentire la risoluzione dei collegamenti simbolici sulla macchina host, utilizza il parametro esplicito '--mount-symlinks'.
- CVE-2025-3048: dopo aver completato una build con AWS SAM CLI, che include collegamenti simbolici, il contenuto di tali collegamenti simbolici viene copiato nella cache dello spazio di lavoro locale come normali file o directory. Di conseguenza, un utente che non ha accesso a quei collegamenti simbolici al di fuori del container Docker ora avrebbe accesso tramite lo spazio di lavoro locale. Questo problema riguarda AWS SAM CLI <= v1.133.0 ed è stato risolto nella v1.134.0. Dopo l'aggiornamento, gli utenti devono ricostruire le proprie applicazioni utilizzando il comando sam build --use-container per aggiornare i collegamenti simbolici.
Versione interessata: <= AWS SAM CLI v1.133.0
Risoluzione:
CVE-2025-3047 è stato risolto nella versione 1.133.0 e CVE-2025-3048 è stato risolto nella versione 1.134.0. Per incorporare le nuove correzioni, gli utenti devono passare all'ultima versione e assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui hanno eseguito il fork.
Riferimenti:
Ringraziamento:
Desideriamo ringraziare GitHub Security Lab per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.
Per eventuali domande o dubbi sulla sicurezza, invia un'e-mail all'indirizzo aws-security@amazon.com.