発行日: 2025 年 3 月 21 日 午前 7 時 PDT
説明
AWS は、AWS Cloud Development Kit (AWS CDK) コマンドラインインターフェイス (AWS CDK CLI) のバージョン 2.172.0 から 2.178.1の間で発生する問題 CVE-2025-2598 を特定しました。AWS CDK CLI は、AWS CDK アプリケーションを AWS アカウントにデプロイするコマンドラインツールです。
お客様が認証情報プラグインで AWS CDK CLI のコマンドを実行し、一時的な認証情報を返すようプラグインを設定するため有効期限プロパティを含めた場合、プラグインによって取得される AWS 認証情報がコンソール出力に表示される可能性があります。CDK CLI が実行されたコンソールにアクセスできるすべてのユーザーがこの出力にアクセス可能になります。この問題に対する修正をリリースしました。この問題に対処するため、お客様にはバージョン 2.178.2 以降へのアップグレードを推奨しています。有効期限プロパティを省略するプラグインは影響を受けません。
次の操作を実行すると、コンソールの出力に認証情報が出力されているかどうかを確認できます。
- 2024 年 12 月 6 日以降に開始した CDK CLI を実行している実行を特定します。
- これらの実行のログを検索して、次のようなステートメントを見つけます。
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - 認証情報が特定できた場合、CDK CLI が実行されたコンソールにアクセスできるユーザーは、その認証情報を見ることができます。そのため、次のような適切な処置を取ることをお勧めします (ただし、これらに限定されません)。
- プラグインが使用する AWS IAM ロールから取得した一時的な認証情報をすべて取り消す。
- コンソール出力にアクセスできるユーザーを制限する。
- プラグインが使用する AWS IAM ユーザーの長期の認証情報 (存在する場合) をローテーションする。
カスタム認証情報プラグインの詳細については、「AWS CDK CLI Library」を参照してください。
影響を受けるバージョン: 2.172.0~2.178.1
解決方法:
この問題はバージョン 2.178.2 で解決されました。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
参考情報:
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。