ID do boletim: AWS-2025-018
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 14/08/2025 09h15 PDT

Descrição:

O Amazon Elastic Container Service (Amazon ECS) é um serviço de orquestração de contêineres totalmente gerenciado que permite aos clientes implantar, gerenciar e escalar aplicações em contêineres. O agente de contêiner do Amazon ECS oferece uma API de introspecção que fornece informações sobre o estado geral do agente do Amazon ECS e das instâncias de contêiner.

Identificamos o CVE-2025-9039, um problema no agente do Amazon ECS. Sob certas condições, esse problema pode permitir que um servidor de introspecção seja acessado fora do host por outra instância se as instâncias estiverem no mesmo grupo de segurança ou se seus grupos de segurança permitirem conexões de entrada com a porta do servidor de introspecção. Esse problema não afeta os casos em que a opção de permitir acesso fora do host ao servidor de introspecção está definida como “falsa”.

Versões afetadas:

Versões do ECS Agent 0.0.3 a 1.97.0

Resolução:

Esse problema foi resolvido na versão 1.97.1 do ECS Agent. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Clientes que não podem atualizar para a AMI mais recente podem modificar os grupos de segurança do Amazon EC2 para restringir o acesso de entrada à porta do servidor de introspecção (51678).

Referências:

• CVE-2025-9039
• GHSA-wm7x-ww72-r77q
  

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.