AWS CDK CLI とカスタム認証情報プラグインに関する問題 (CVE-2025-2598)
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
公開日:2025年3月21日午前7時 (太平洋夏時間)
説明
AWS は、 CVE-2025-2598 を AWS クラウド開発キット (AWS CDK) コマンドラインインターフェイス (AWS CDK CLI) のバージョン 2.172.0 から 2.178.1 の問題として特定しました。AWS CDK CLI は、AWS CDK アプリケーションを AWS アカウントにデプロイするコマンドラインツールです。
お客様が認証情報プラグインで AWS CDK CLI のコマンドを実行し、一時的な認証情報を返すようプラグインを設定するため有効期限プロパティを含めた場合、プラグインによって取得される AWS 認証情報がコンソール出力に表示される可能性があります。CDK CLI が実行されたコンソールにアクセスできるすべてのユーザーがこの出力にアクセス可能になります。この問題の修正をリリースしました。この問題に対処するには、バージョン 2.178.2 以降にアップグレードすることをお勧めします。有効期限プロパティを省略するプラグインは影響を受けません。
次の操作を実行すると、コンソールの出力に認証情報が出力されているかどうかを確認できます。
- 2024 年 12 月 6 日以降に開始した CDK CLI を実行している実行を特定します。
- これらの実行のログを検索して、次のようなステートメントを見つけます。
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$ソース': <オブジェクト。'$ソース':
} - 認証情報が特定できた場合、CDK CLI が実行されたコンソールにアクセスできるユーザーは、その認証情報を見ることができます。そのため、次のような適切な処置を取ることをお勧めします (ただし、これらに限定されません)。
-プラグインが使用する AWS IAM ロールから取得した一時的な認証情報をすべて取り消します。
-コンソール出力にアクセスできるユーザーを制限します。
-プラグインが使用する AWS IAM ユーザーの長期間有効な認証情報 (存在する場合) をローテーションします。
カスタム認証情報プラグインの詳細については、「AWS CDK CLI ライブラリ」を参照してください。
影響を受けるバージョン: 2.172.0~2.178.1
解決方法:
この問題はバージョン 2.178.2 で解決されました。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
参考情報:
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。