Amazon EMR Secret Agent组件漏洞分析与修复方案

本文详细分析了CVE-2025-8904安全漏洞,该漏洞影响Amazon EMR Secret Agent组件,可能导致Kerberos凭证泄露和权限提升。文章介绍了漏洞成因、影响版本范围以及官方提供的修复方案。

CVE-2025-8904 - Amazon EMR Secret Agent组件问题

发布日期: 2025年8月13日
公告ID: AWS-2025-017
内容类型: 重要(需要关注)

描述

Amazon EMR是一种托管集群平台,可简化在AWS上运行大数据框架以处理和分析海量数据的过程。

我们发现了CVE-2025-8904,这是Amazon EMR Secret Agent组件中的一个问题。Secret Agent组件负责安全存储密钥并将密钥分发给其他Amazon EMR组件和应用程序。当使用具有一个或多个Lake Formation、Apache Ranger、运行时角色或使用此组件的Identity Center功能的Amazon EMR集群时,Secret Agent会创建一个包含Kerberos凭据的keytab文件。该文件存储在/tmp/目录中。具有访问此目录和另一个帐户权限的用户可能解密密钥并提升到更高权限。

修复措施

我们实施了一个修复程序,移除了/tmp/作为Kerberos凭据的暂存目录,消除了用户访问keytab文件的可能性。该修复程序在Amazon EMR 7.5及更高版本中可用。

受影响版本

  • Amazon EMR 6.10至7.4版本

解决方案

此问题已在Amazon EMR 7.5及更高版本中得到解决。我们建议升级到最新版本以包含新的修复程序。

对于使用Amazon EMR 6.10至7.4版本的客户,我们强烈建议运行提供位置中包含修复程序的引导脚本和RPM文件。

参考

  • CVE-2025-8904

如有任何安全问题或疑问,请发送邮件至aws-security@amazon.com。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次