Data de publicação: 31/03/2025, às 08:10 PDT
Descrição
A interface de linha de comando do AWS Serverless Application Model (CLI do AWS SAM) é uma ferramenta de CLI de código aberto que ajuda desenvolvedores do Lambda a criar e desenvolver aplicações Lambda localmente em seus computadores usando o Docker.
Identificamos os seguintes problemas na CLI do AWS SAM. Foi lançada uma correção, e recomendamos que os usuários façam upgrade para a versão mais recente a fim de resolver esses problemas. Além disso, os usuários devem garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
- CVE-2025-3047: ao executar o processo de compilação da CLI do AWS SAM com o Docker e quando links simbólicos são incluídos nos arquivos de compilação, o ambiente de contêiner permite que o usuário acesse arquivos privilegiados no host, aproveitando as permissões elevadas concedidas à ferramenta. Um usuário pode aproveitar essas permissões elevadas para acessar arquivos restritos por meio de links simbólicos e copiá-los para um local mais permissivo no contêiner. Esse problema afeta a CLI do AWS SAM <= v1.132.0 e foi resolvido na v1.133.0. Para manter o comportamento anterior após o upgrade e permitir que links simbólicos sejam resolvidos na máquina host, use o parâmetro explícito “--mount-symlinks”.
- CVE-2025-3048: após a conclusão de uma compilação com a CLI do AWS SAM que inclui links simbólicos, o conteúdo desses links simbólicos é copiado para o cache do espaço de trabalho local como arquivos ou diretórios regulares. Como resultado, um usuário que não tem acesso a esses links simbólicos fora do contêiner do Docker agora terá acesso por meio do espaço de trabalho local. Esse problema afeta a CLI do AWS SAM <= v1.133.0 e foi resolvido na v1.134.0. Após o upgrade, os usuários devem recompilar suas aplicações utilizando o comando sam build --use-container para atualizar os links simbólicos.
Versão afetada: <= CLI do AWS SAM v1.133.0
Resolução:
O CVE-2025-3047 foi resolvido na versão 1.133.0, e o CVE-2025-3048 foi resolvido na versão 1.134.0. Os usuários devem fazer upgrade para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Referências:
Agradecimento:
Gostaríamos de agradecer ao GitHub Security Lab por colaborar na resolução deste problema por meio do processo coordenado de divulgação de vulnerabilidades.
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.