速報 ID: AWS-2025-018
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 8 月 14 日 午前 9 時 15 分 (PDT)

説明:

Amazon Elastic Container Service (Amazon ECS) は、コンテナ化されたアプリケーションを簡単にデプロイ、管理、スケールすることを可能にするフルマネージドコンテナオーケストレーションサービスです。Amazon ECS コンテナエージェントは、Amazon ECS エージェントとコンテナインスタンスの全体的な状態に関する情報を提供するイントロスペクション API を提供します。

当社は、Amazon ECS エージェントの問題である CVE-2025-9039 を特定しました。特定の条件下では、インスタンスが同じセキュリティグループに属している場合、またはセキュリティグループがイントロスペクションサーバーのポートへのインバウンド接続を許可している場合、この問題により、別のインスタンスがイントロスペクションサーバーにオフホストでアクセスできる可能性があります。この問題は、イントロスペクションサーバーへのオフホストアクセスを許可するオプションが「false」に設定されているインスタンスには影響しません。

影響を受けるバージョン:

ECS エージェントバージョン 0.0.3～1.97.0

解決方法:

この問題は、ECS エージェントバージョン 1.97.1 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

最新の AMI にアップデートできないお客様は、Amazon EC2 セキュリティグループを変更して、イントロスペクションサーバーのポート (51678) への着信アクセスを制限できます。

参考情報:

• CVE-2025-9039
• GHSA-wm7x-ww72-r77q
  

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。