ID Bollettino: AWS-2025-017
Ambito: AWS
Tipo di contenuto: Importante (richiede attenzione)
Data di pubblicazione: 13/08/2025 10:00 PDT

Descrizione:

Amazon EMR è una piattaforma cluster gestita che semplifica l'esecuzione di framework di big data su AWS per elaborare e analizzare grandi quantità di dati.

Abbiamo identificato un problema nel componente Secret Agent di Amazon EMR, denominato CVE-2025-8904. Il componente Secret Agent archivia in modo sicuro i segreti e li distribuisce ad altri componenti e applicazioni di Amazon EMR. Quando si utilizzano cluster Amazon EMR con una o più funzionalità di Lake Formation, Apache Ranger, Identity Center o con ruoli di runtime che impiegano questo componente, Secret Agent crea un file keytab contenente le credenziali Kerberos. Questo file è memorizzato nella directory /tmp/. Un utente con accesso a questa directory e a un altro account può potenzialmente decrittografare le chiavi e passare a privilegi più alti.

Abbiamo implementato una correzione che rimuove /tmp/ come directory di staging per le credenziali Kerberos, eliminando la possibilità per gli utenti di accedere al file keytab. La correzione è disponibile in Amazon EMR versione 7.5 e successive.

Versioni interessate:

Amazon EMR dalla versione 6.10 alla 7.4

Risoluzione:

Questo problema è stato risolto in Amazon EMR versione 7.5 e successive. Ti consigliamo di eseguire l'aggiornamento alla versione più recente per incorporare le nuove correzioni.

Per i clienti che utilizzano le versioni di Amazon EMR dalla 6.10 alla 7.4, consigliamo vivamente di eseguire lo script di bootstrap e i file RPM con la correzione fornita nella posizione.

Riferimenti:

• CVE-2025-8904

Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.