安全更新:Amazon Q Developer for Visual Studio Code扩展(版本1.84.0)
范围: AWS
内容类型: 重要(需要关注)
发布日期: 2025年7月23日 下午6:00 PDT
更新日期: 2025年7月25日 下午6:00 PDT
问题描述
Amazon Q Developer for Visual Studio Code(VS Code)扩展是一款开发工具,将Amazon Q的AI驱动编码助手直接集成到VS Code集成开发环境(IDE)中。
AWS已发现并解决了Amazon Q Developer for VS Code扩展中的一个问题,该问题被分配为CVE-2025-8217。
在对AWS-2025-016的调查过程中,我们确定Amazon Q Developer for VS Code扩展在其CodeBuild配置中存在一个权限范围不当的GitHub令牌。利用该访问令牌,威胁行为者能够将恶意代码提交到扩展的开源仓库中,这些代码被自动包含在发布版本中。发现此问题后,我们立即撤销并替换了凭据,从代码库中移除了恶意代码,随后发布了Amazon Q Developer for VS Code扩展版本1.85.0。
AWS安全部门已检查代码并确定恶意代码随扩展分发,但由于语法错误未能成功执行。这阻止了恶意代码对任何服务或客户环境进行更改。
如果我们有更多信息需要分享,将更新此公告。
受影响版本
Amazon Q Developer for Visual Studio Code扩展(版本1.84.0)
解决方案
AWS已采取所有必要的缓解措施来保护AWS系统,并发布了Amazon Q Developer for VS Code扩展版本1.85.0。这包括从分发渠道中移除1.84.0版本,以确保没有更多客户可以安装它。虽然恶意代码无法执行,但它仍然存在于现有的1.84.0安装中。因此,所有1.84.0的安装都应停止使用,客户应更新到1.85.0版本,包括任何分叉或衍生副本。
要更新您的Amazon Q Developer for VS Code扩展:
- 打开Visual Studio Code
- 导航到扩展面板
- 找到Amazon Q Developer
- 点击更新按钮
版本1.84.0的哈希值参考:
sha256: 47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
参考链接
- https://github.com/aws/aws-toolkit-vscode
- CVE-2025-8217
- GHSA-7g7f-ff96-5gcw
- AWS-2025-016
如有任何安全问题或疑虑,请发送邮件至aws-security@amazon.com。