Amazon ECS 代理内省服务器安全漏洞解析

本文详细分析了CVE-2025-9039漏洞,该漏洞影响Amazon ECS代理的内省服务器,可能导致跨实例未授权访问。文章提供了受影响版本范围、修复方案及临时缓解措施,帮助用户及时防范安全风险。

CVE-2025-9039 - Amazon ECS 代理内省服务器问题

发布日期: 2025年8月14日
公告ID: AWS-2025-018
内容类型: 重要(需要关注)
发布时间: 2025年8月14日 上午09:15(PDT)

描述

Amazon Elastic Container Service(Amazon ECS)是一项全托管的容器编排服务,支持客户部署、管理和扩展容器化应用程序。Amazon ECS 容器代理提供了一个内省API,用于提供有关 Amazon ECS 代理和容器实例整体状态的信息。

我们发现了 CVE-2025-9039,这是 Amazon ECS 代理中的一个问题。在某些条件下,如果实例位于同一安全组中,或者其安全组允许对内省服务器端口的入站连接,此问题可能允许其他实例跨主机访问内省服务器。对于将允许跨主机访问内省服务器的选项设置为“false”的实例,此问题不受影响。

受影响版本

  • ECS 代理版本 0.0.3 至 1.97.0

解决方案

此问题已在 ECS 代理版本 1.97.1 中解决。我们建议升级到最新版本,并确保任何分支或衍生代码均已修补以包含新的修复。

临时措施

无法更新到最新 AMI 的客户可以修改 Amazon EC2 安全组,以限制对内省服务器端口(51678)的入站访问。

参考信息

  • CVE-2025-9039
  • GHSA-wm7x-ww72-r77q

如有任何安全问题或疑虑,请发送邮件至 aws-security@amazon.com

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次