Amazon ECS代理内省服务器安全漏洞分析与修复指南

本文详细分析了CVE-2025-9039漏洞,该漏洞影响Amazon ECS代理的内省服务器,可能导致跨实例未授权访问。文章提供了受影响版本范围、修复方案及临时缓解措施,帮助用户加强容器环境安全防护。

CVE-2025-9039 - Amazon ECS代理内省服务器问题

发布日期: 2025年8月14日
公告ID: AWS-2025-018
范围: AWS
内容类型: 重要(需要关注)
发布时间: 2025年8月14日 上午09:15 PDT

漏洞描述

Amazon Elastic Container Service(Amazon ECS)是一个完全托管的容器编排服务,使客户能够部署、管理和扩展容器化应用程序。Amazon ECS容器代理提供了一个内省API,可提供有关Amazon ECS代理和容器实例整体状态的信息。

我们发现了CVE-2025-9039漏洞,这是Amazon ECS代理中的一个问题。在某些条件下,如果实例位于同一安全组中,或者其安全组允许对内省服务器端口的入站连接,此问题可能允许另一个实例从主机外部访问内省服务器。对于将允许从主机外部访问内省服务器的选项设置为"false"的实例,此问题不会产生影响。

受影响版本

  • ECS代理版本0.0.3至1.97.0

解决方案

此问题已在ECS代理版本1.97.1中得到解决。我们建议升级到最新版本,并确保任何分支或衍生代码都已打补丁以包含新的修复程序。

临时缓解措施

无法更新到最新AMI的客户可以修改Amazon EC2安全组,以限制对内省服务器端口(51678)的入站访问。

参考信息

  • CVE-2025-9039
  • GHSA-wm7x-ww72-r77q

如有任何安全问题或疑虑,请发送电子邮件至aws-security@amazon.com。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次