게시일: 2025년 3월 21일 오전 7시 00분(PDT)
설명
AWS는 AWS AWS Cloud Development Kit(AWS CDK) 명령줄 인터페이스(AWS CDK CLI) 2.172.0~2.178.1 버전에서 CVE-2025-2598 문제를 발견했습니다. AWS CDK CLI는 AWS CDK 애플리케이션을 AWS 계정에 배포하는 명령줄 도구입니다.
고객이 자격 증명 플러그인으로 AWS CDK CLI 명령을 실행하여 만료 속성을 포함하는 임시 자격 증명을 반환하도록 해당 플러그인을 구성하는 경우, 이 문제가 있으면 플러그인으로 검색된 AWS 자격 증명이 콘솔 출력에 표시될 위험이 있습니다. CDK CLI가 실행된 위치에 액세스 권한이 있는 모든 사용자가 이 출력을 볼 수 있습니다. 이 문제에 대한 수정 사항이 릴리스되었으니 2.178.2 버전 이상으로 업그레이드하시기 바랍니다. 만료 속성이 포함되지 않은 플러그인은 영향을 받지 않습니다.
고객은 다음 작업을 통해 자격 증명이 콘솔 출력에 표시되는지 확인할 수 있습니다.
- 2024년 12월 6일 이후에 시작된 CDK CLI 실행 작업을 식별합니다.
- 이러한 실행 로그를 모두 스캔하여 다음과 유사한 명령문을 찾습니다.
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - 고객이 자격 증명을 식별하면 CDK CLI가 실행된 콘솔에 액세스 가능한 사용자에게 자격 증명이 표시될 수 있습니다. 따라서 적절한 조치(적절한 조치에는 다음이 포함되지만 이에 국한되지 않음)를 취하는 것이 좋습니다.
- 플러그인에서 사용하는 AWS IAM 역할에서 가져온 모든 임시 자격 증명을 취소합니다.
- 콘솔 출력에 액세스할 수 있는 사용자를 제한합니다.
- 플러그인에서 사용되는 AWS IAM 사용자의 오래된 자격 증명을 교체합니다(있는 경우).
사용자 지정 자격 증명 플러그인에 대한 자세한 내용은 ‘AWS CDK CLI 라이브러리’를 참조하세요.
영향을 받는 버전: 2.172.0~2.178.1
해결 방법:
이 문제는 2.178.2 버전에서 해결되었습니다. 포크 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.
참고 사항:
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.