發布日期:2025 年 3 月 31 日上午 08:10 (太平洋夏令時間)
描述
AWS Serverless Application Model Command Line Interface (AWS SAM CLI) 是一種開放原始碼 CLI 工具,可協助 Lambda 開發人員使用 Docker 在本機建置和開發 Lambda 應用程式。
我們在 AWS SAM CLI 中發現了以下問題。我們發布了修補程式,並建議使用者升級到最新版本來解決這些問題。此外,使用者應確保對任何分叉或衍生程式碼進行修補,以修正相關問題。
- CVE-2025-3047:當使用 Docker 執行 AWS SAM CLI 建置流程且建置檔案中包含符號連結時,容器環境允許使用者透過利用授予工具的更高許可來存取主機上的特殊權限檔案。使用者可以利用提升的許可透過符號連結存取受限檔案,並將其複製到容器上許可更為寬鬆的位置。此問題影響 AWS SAM CLI v1.132.0 及更早版本,並已在 v1.133.0 中得到解決。為了在升級後保留先前的行為並允許在主機上解析符號連結,請使用明確的參數 --mount-symlinks。
- CVE-2025-3048:使用 AWS SAM CLI 完成包含符號連結的建置後,這些符號連結的內容被作為常規檔案或目錄複製到本機工作區的快取中。因此,無法存取 Docker 容器以外的這些符號連結的使用者現在可以透過本機工作區進行存取。此問題影響 AWS SAM CLI v1.133.0 及更早版本,並已在 v1.134.0 中得到解決。升級後,使用者必須使用 sam build --use-container 重新建置其應用程式以更新符號連結。
受影響的版本:AWS SAM CLI v1.133.0 及更早版本
解決方案:
CVE-2025-3047 已在 1.133.0 版本中得到解決,而 CVE-2025-3048 已在 1.134.0 版本中得到解決。使用者應升級至最新版本,同時確保對任何分叉或衍生程式碼進行了修補,以修正相關問題。
參考資料:
致謝:
我們誠摯感謝 GitHub Security Lab 透過協調的漏洞披露程序,與我們協作解決此問題。
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。