発行日: 2025 年 3 月 31 日 午前 8 時 10 分 PDT
説明
AWS サーバーレスアプリケーションモデルコマンドラインインターフェイス (AWS SAM CLI) は、Lambda デベロッパーが Docker を使用して自らのコンピュータ上でローカルに Lambda アプリケーションを構築および開発するのに役立つオープンソースの CLI ツールです。
当社は、AWS SAM CLI 内で次の問題を特定しました。修正はリリース済みです。これらの問題に対処するために、ユーザーには最新バージョンにアップグレードすることをお勧めします。さらに、ユーザーは、新しい修正を組み込むために、フォークされたコードや派生コードにパッチを適用する必要があります。
- CVE-2025-3047: Docker を使用して AWS SAM CLI ビルドプロセスを実行しており、ビルドファイルにシンボリックリンクが含まれている場合、コンテナ環境では、ユーザーは、ツールに付与された、昇格された許可を活用して、ホスト上の特権ファイルにアクセスできます。ユーザーは、昇格された許可を活用して、シンボリックリンクを介して制限されたファイルにアクセスし、コンテナ上のより許容度の高い場所にそれらのファイルをコピーできます。この問題は AWS SAM CLI v1.132.0 以前に影響し、v1.133.0 で解決されています。アップグレード後も以前の動作を維持し、ホストマシンでシンボリックリンクを解決できるようにするには、明示的な「--mount-symlinks」パラメータを使用してください。
- CVE-2025-3048: AWS SAM CLI を使用してシンボリックリンクを含むビルドを完了すると、それらのシンボリックリンクの内容が通常のファイルまたはディレクトリとしてローカルワークスペースのキャッシュにコピーされます。その結果、Docker コンテナの外部でそれらのシンボリックリンクにアクセスできないユーザーが、ローカルワークスペースを介してアクセスできるようになります。この問題は AWS SAM CLI v1.133.0 以前に影響し、v1.134.0 で解決されています。アップグレード後、ユーザーは sam build --use-container を使用してアプリケーションを再構築し、シンボリックリンクを更新する必要があります。
影響を受けるバージョン: AWS SAM CLI v1.133.0 以前
解決方法:
CVE-2025-3047 はバージョン 1.133.0 で対処され、CVE-2025-3048 はバージョン 1.134.0 で対処されました。ユーザーは、最新バージョンにアップグレードし、フォークされたコードや派生コードにパッチを適用して、新しい修正が組み込まれるようにする必要があります。
参考情報:
謝辞:
協調的脆弱性開示プロセスを通じてこの問題に協力してくださった GitHub Security Lab に感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。