AWS SAM CLI に関する問題 (CVE-2025-3047、CVE-2025-3048)
スコープ:AWS
コンテンツタイプ: 重要 (要注意)
公開日:2025年3月31日午前8時10分(太平洋夏時間)
説明
AWS サーバーレスアプリケーションモデルコマンドラインインターフェイス (AWS SAM CLI) は、Lambda 開発者が Docker を使用してコンピューター上でローカルに Lambda アプリケーションを構築および開発するのに役立つオープンソースの CLI ツールです。
当社は、AWS SAM CLI 内で次の問題を特定しました。修正がリリースされました。これらの問題に対処するには、最新バージョンにアップグレードすることをお勧めします。さらに、ユーザーは、新しい修正を組み込むために、フォークされたコードや派生コードにパッチを適用する必要があります。
- CVE-2025-3047: Docker を使用して AWS SAM CLI ビルドプロセスを実行しており、ビルドファイルにシンボリックリンクが含まれている場合、コンテナ環境では、ユーザーは、ツールに付与された、昇格された許可を活用して、ホスト上の特権ファイルにアクセスできます。ユーザーは、昇格された許可を活用して、シンボリックリンクを介して制限されたファイルにアクセスし、コンテナ上のより許容度の高い場所にそれらのファイルをコピーできます。この問題は AWS SAM CLI v1.132.0 以前に影響し、v1.133.0 で解決されています。アップグレード後も以前の動作を維持し、シンボリックリンクをホストマシン上で解決できるようにするには、明示的な '--mount-symlinks' パラメーターを使用してください。
- CVE-2025-3048: AWS SAM CLI を使用してシンボリックリンクを含むビルドを完了すると、それらのシンボリックリンクの内容が通常のファイルまたはディレクトリとしてローカルワークスペースのキャッシュにコピーされます。その結果、Docker コンテナの外部でそれらのシンボリックリンクにアクセスできないユーザーが、ローカルワークスペースを介してアクセスできるようになります。この問題は AWS SAM CLI v1.133.0 以前に影響し、v1.134.0 で解決されています。アップグレード後、ユーザーは sam build --use-container を使用してアプリケーションを再構築し、シンボリックリンクを更新する必要があります。
影響を受けるバージョン:<= AWS SAM CLI v1.13.0
解像度:
CVE-2025-3047 はバージョン 1.133.0 で対処され、CVE-2025-3048 はバージョン 1.134.0 で対処されました。ユーザーは、最新バージョンにアップグレードし、フォークされたコードや派生コードにパッチを適用して、新しい修正が組み込まれるようにする必要があります。
参考情報:
謝辞:
協調的脆弱性開示プロセスを通じてこの問題に協力してくださった GitHub Security Lab に感謝いたします。
セキュリティに関する質問や懸念がある場合は、 aws-security@amazon.com までメールでお問い合わせください。