ID do boletim: AWS-2025-017
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 13/08/2025 10h PDT

Descrição:

O Amazon EMR é uma plataforma de cluster gerenciada que simplifica a execução de estruturas de big data na AWS para processar e analisar grandes quantidades de dados.

Identificamos o CVE-2025-8904, um problema no componente Secret Agent do Amazon EMR. O componente Secret Agent armazena segredos com segurança e distribui segredos para outros componentes e aplicações do Amazon EMR. Ao usar clusters do Amazon EMR com um ou mais atributos do Lake Formation, do Apache Ranger, do perfil de runtime ou do Centro de Identidade que usam esse componente, o Secret Agent cria um arquivo keytab contendo as credenciais do Kerberos. Esse arquivo é armazenado no diretório /tmp/. Um usuário com acesso a esse diretório e a outra conta pode potencialmente descriptografar as chaves e escalar para privilégios maiores.

Implementamos uma correção que remove /tmp/ como um diretório de teste para as credenciais do Kerberos, eliminando a possibilidade de os usuários acessarem o arquivo keytab. A correção está disponível na versão 7.5 e superior do Amazon EMR.

Versões afetadas:

Amazon EMR versão 6.10 a 7.4

Resolução:

Esse problema foi resolvido na versão 7.5 e superior do Amazon EMR. Recomendamos atualizar para a versão mais recente para incorporar as novas correções.

Para clientes nas versões 6.10 a 7.4 do Amazon EMR, é altamente recomendável executar o script de bootstrap e os arquivos RPM com a correção fornecida no local.

Referências:

• CVE-2025-8904

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.