佈告欄 ID：AWS-2025-017
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2025 年 8 月 13 日上午 10:00 (太平洋夏令時間)

描述：

Amazon EMR 是受管叢集平台，可簡化在 AWS 上執行巨量資料架構的程序，以處理並分析巨量資料。

我們發現 Amazon EMR Secret Agent 元件存在 CVE-2025-8904 此問題。Secret Agent 元件可用於安全地儲存機密資料，並將其分發給其他 Amazon EMR 元件及應用程式。Amazon EMR 叢集啟用 Lake Formation、Apache Ranger、執行時期角色或 Identity Center 等使用此元件的功能時，Secret Agent 就會建立包含 Kerberos 憑證的 keytab 檔案。此檔案儲存於 /tmp/ 目錄中。若使用者能存取此目錄，就可能利用其他帳號解密金鑰，進而將權限提升至更高層級。

我們已實作修正，不再使用 /tmp/ 作為 Kerberos 憑證的暫存目錄，藉此杜絕使用者存取 keytab 檔案的可能。Amazon EMR 7.5 及更高版本已包含此修正。

受影響版本：

Amazon EMR 版本 6.10 至 7.4

解決方案：

此問題已在 Amazon EMR 7.5 及更高版本中修復。建議您升級至最新版本以納入本次修正。

針對使用 Amazon EMR 6.10 至 7.4 版本的客戶，我們強烈建議使用該位置中提供的修正程式執行開機指令碼和 RPM 檔案。

參考資料：

• CVE-2025-8904

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。