速報 ID: AWS-2025-017
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 8 月 13 日 午前 10 時 (PDT)

説明:

Amazon EMR は、膨大な量のデータを処理および分析するために AWS 上でのビッグデータフレームワークの実行を簡素化するマネージドクラスタープラットフォームです。

当社は、Amazon EMR Secret Agent コンポーネントの問題である CVE-2025-8904 を特定しました。Secret Agent コンポーネントは、シークレットを安全に保存し、他の Amazon EMR コンポーネントおよびアプリケーションにシークレットを配布します。このコンポーネントを使用する 1 つ以上の Lake Formation、Apache Ranger、ランタイムロール、またはアイデンティティセンターの機能で Amazon EMR クラスターを使用する場合、Secret Agent は Kerberos 認証情報を含む keytab ファイルを作成します。このファイルは /tmp/ ディレクトリに保存されます。このディレクトリと別のアカウントにアクセスできるユーザーは、キーを復号し、より高い特権にエスカレーションできる可能性があります。

当社は、Kerberos 認証情報のステージングディレクトリとして /tmp/ を削除する修正を実装し、ユーザーが keytab ファイルにアクセスする可能性を排除しました。この修正は、Amazon EMR リリース 7.5 以降で利用できます。

影響を受けるバージョン:

Amazon EMR バージョン 6.10～7.4

解決方法:

この問題は、Amazon EMR バージョン 7.5 以降で解決されています。新しい修正を組み込むために、最新バージョンにアップグレードすることをお勧めします。

Amazon EMR リリースバージョン 6.10～7.4 のお客様には、該当の場所で提供されている修正を含むブートストラップスクリプトと RPM ファイルを実行することを強くお勧めします。

参考情報:

• CVE-2025-8904

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。