發布日期:2025 年 3 月 21 日上午 07:00 (太平洋夏令時間)
描述
AWS 已識別到 AWS Cloud Development Kit (AWS CDK) Command Line Interface (AWS CDK CLI) 2.172.0 至 2.178.1 版本中存在 CVE-2025-2598 問題。AWS CDK CLI 是一種命令列工具,可將 AWS CDK 應用程式部署到 AWS 帳戶。
當客戶使用憑證外掛程式執行 AWS CDK CLI 命令,並將這些外掛程式設定為透過包含到期屬性來傳回暫時憑證時,此問題可能導致外掛程式擷取的 AWS 憑證列印至主控台輸出中。任何有權限存取 CDK CLI 執行位置的使用者都可以存取此輸出。我們已發布此問題的修正,建議客戶升級至 2.178.2 或更高版本,以解決此問題。忽略到期屬性的外掛程式不受影響。
若要驗證憑證是否已列印至主控台輸出,客戶可以採取下列動作:
- 識別在 2024 年 12 月 6 日之後開始執行 CDK CLI 的動作。
- 掃描這些執行的任何日誌,找到類似如下的陳述式:
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - 如果識別到憑證,則有權限存取執行 CDK CLI 之主控台的使用者可以檢視這些憑證。因此,我們建議您採取適當的行動,包括 (但不限於):
- 撤銷從外掛程式使用之 AWS IAM 角色取得的所有暫時憑證。
- 限制有權限存取主控台輸出的使用者。
- 輪換外掛程式使用之 AWS IAM 使用者的長效憑證 (如果有)。
如需有關自訂憑證外掛程式的詳細資訊,請參閱「AWS CDK CLI 程式庫」。
受影響的版本:2.172.0 至 2.178.1
解決方案:
已解決 2.178.2 版本中的此問題。建議您升級至最新版本,同時確保對任何分支或衍生程式碼進行了修補以包含新的修正。
參考資料:
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。