TheNote
RSS AWS neueste Bulletins Notiz
GooglePlay AppStore

RSS AWS neueste Bulletins

Die auf AWS spezifizierte Webseite ist dem Thema Sicherheitsbulletins gewidmet. Es ist eine der zuverlässigen Quellen für die Verbreitung der neuesten Sicherheitsmitteilungen und Updates. Die Bulletins decken hauptsächlich Sicherheitsberatungen, außerordentliche Patches und andere Produkt-Sicherheitsupdates ab. Diese Bulletins machen es Benutzern einfacher, sich auf dem neuesten Stand der Sicherheitsaspekte zu halten, um sicherzustellen, dass ihre Infrastruktur sicher und konform bleibt.
Latest Bulletins aws.amazon.com
RSS aws.amazon.com
RSS Hunter RSS Hunter 22. Aug. 2024

Notizfaden

Pufferüberlauf beim Empfang von fehlerhaft dimensionierten ICMPv6-Paketen

Bulletin-ID: AWS-2025-023 Umfang: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 2025/10/10 22:15 Uhr PDTWir haben die folgenden CVEs identifiziert:CVE-2025-11616 - Ein Pufferüberlauf beim Empfang von ICMPv6-Paketen bestimmter Nachrichtentypen, die kleiner als die erwartete Größe sind. CVE-2025-11617 - Ein Pufferüberlauf beim Empfang eines IPv6-Pakets mit falschen Nutzlastlängen im Paketheader. CVE-2025-11618 - Eine ungültige Zeigerdereferenzierung beim Empfang eines UDP/IPv6-Pakets mit einem falschen IP-Versionsfeld im Paketheader.Beschreibung:FreeRTOS-Plus-TCP ist eine Open-Source-TCP/IP-Stack-Implementierung, die speziell für FreeRTOS entwickelt wurde. Der Stack bietet eine standardmäßige Berkeley-Sockets-Schnittstelle und unterstützt wichtige Netzwerkprotokolle, darunter IPv6, ARP, DHCP, DNS, LLMNR, mDNS, NBNS, RA, ND, ICMP und ICMPv6.Diese Probleme betreffen nur Anwendungen, die IPv6 verwenden.Betroffene Versionen:v4.0.0 bis v4.3.3, wenn IPv6-Unterstützung aktiviert ist
Buffer Over-read when receiving improperly sized ICMPv6 packets aws.amazon.com
RSS Hunter RSS Hunter 10. Okt. 2025

CVE-2025-11573 - Denial-of-Service-Problem in Amazon.IonDotnet

Bulletin-ID: AWS-2025-022 Umfang: Amazon Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 2025/10/09 23:00 Uhr PDTBeschreibung:Amazon.IonDotnet ist eine Bibliothek für die Dotnet-Sprache, die zum Lesen und Schreiben von Amazon Ion-Daten verwendet wird.Wir haben CVE-2025-11573 identifiziert, das ein Problem mit einer Endlosschleife in den Amazon.IonDotnet-Bibliotheksversionen beschreibt.Betroffene Versionen:<1.3.2
CVE-2025-11573 - Denial of Service issue in Amazon.IonDotnet aws.amazon.com
RSS Hunter RSS Hunter 9. Okt. 2025

IMDS-Impersonation

Bulletin-ID: AWS-2025-021 Umfang: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 2025/10/07 13:30 Uhr PDTBeschreibung:AWS ist sich eines potenziellen Problems der Identitätsnachahmung des Instance Metadata Service (IMDS) bewusst, das dazu führen könnte, dass Kunden mit unerwarteten AWS-Konten interagieren. IMDS, wenn er auf einer EC2-Instance ausgeführt wird, läuft auf einer Loopback-Netzwerkschnittstelle und verkauft Instance Metadata Credentials, die Kunden zur Interaktion mit AWS-Services verwenden. Diese Netzwerkaufrufe verlassen niemals die EC2-Instance, und Kunden können darauf vertrauen, dass sich die IMDS-Netzwerkschnittstelle innerhalb des AWS-Datenperimeters befindet.Bei der Verwendung von AWS-Tools (wie AWS CLI/SDK oder SSM Agent) von Nicht-EC2-Rechenknoten besteht die Möglichkeit, dass ein von Dritten kontrollierter IMDS unerwartete AWS-Anmeldeinformationen bereitstellt. Dies setzt voraus, dass der Rechenknoten in einem Netzwerk ausgeführt wird, in dem der Dritte eine privilegierte Netzwerkposition hat. AWS empfiehlt, dass Kunden bei der Verwendung von AWS-Tools außerhalb des AWS-Datenperimeters die Installations- und Konfigurationsanleitungen (AWS CLI/SDK oder SSM Agent) befolgen, um sicherzustellen, dass dieses Problem gemildert wird. Wir empfehlen außerdem, IMDS-Endpunkte zu überwachen, die möglicherweise in Ihrer lokalen Umgebung ausgeführt werden, um solche Identitätsnachahmungsprobleme durch Dritte proaktiv zu verhindern.Betroffene Versionen:IMDSv1 und IMDSv2
IMDS impersonation aws.amazon.com
RSS Hunter RSS Hunter 8. Okt. 2025

CVE-2025-11462 AWS ClientVPN macOS Client Lokale Rechteausweitung

Bulletin-ID: AWS-2025-020 Geltungsbereich: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 07.10.2025 13:30 Uhr PDTBeschreibung:AWS Client VPN ist ein verwalteter clientbasierter VPN-Dienst, der sicheren Zugriff auf AWS- und On-Premises-Ressourcen ermöglicht. Die AWS Client VPN-Client-Software läuft auf Endbenutzergeräten, unterstützt Windows, macOS und Linux und ermöglicht es Endbenutzern, eine sichere Verbindung zum AWS Client VPN Service herzustellen.Wir haben CVE-2025-11462 identifiziert, ein Problem in AWS Client VPN. Der macOS-Version des AWS VPN Clients fehlten ordnungsgemäße Validierungsprüfungen für das Log-Zielverzeichnis während der Log-Rotation. Dies ermöglichte es einem Nicht-Administrator-Benutzer, einen Symlink von einer Client-Logdatei zu einem privilegierten Speicherort (z. B. Crontab) zu erstellen. Das Auslösen einer internen API mit beliebigen Eingaben würde diese Eingaben dann bei der Log-Rotation an den privilegierten Speicherort schreiben, was die Ausführung mit Root-Rechten ermöglicht. Dieses Problem betrifft keine Windows- oder Linux-Geräte.Betroffene Versionen:AWS Client VPN Client-Versionen 1.3.2 bis 5.2.0
CVE-2025-11462 AWS ClientVPN macOS Client Local Privilege Escalation aws.amazon.com
RSS Hunter RSS Hunter 7. Okt. 2025

Amazon Q Developer und Kiro – Prompt-Injection-Probleme in Kiro- und Q-IDE-Plugins

AWS hat Prompt-Injection-Schwachstellen in Amazon Q Developer und Kiro identifiziert, die in aktuellen Blogbeiträgen detailliert beschrieben werden. Diese Probleme könnten die Ausführung von Remote-Code und die Exfiltration von Geheimnissen ermöglichen. Für Amazon Q Developer waren bestimmte Versionen anfällig für Befehle, die ohne menschliche Bestätigung ausgeführt wurden, einschließlich solcher mit unsichtbaren Zeichen. Updates für Language Server Versionen 1.22.0 und 1.24.0 führten eine Human-in-the-Loop (HITL)-Bestätigung für diese Befehle ein. Eine weitere Schwachstelle ermöglichte die Preisgabe von Geheimnissen über DNS-Anfragen durch Prompt-Injection-Vorschläge. AWS Kiro hatte ebenfalls eine Schwachstelle, die die Ausführung von beliebigem Code durch injizierte Anweisungen ermöglichte. Kiro Version 0.1.42 war betroffen, und Updates erfordern nun eine HITL-Bestätigung für bestimmte Aktionen. Amazon Q Developer und Kiro sind nach Prinzipien der agentenbasierten Entwicklung konzipiert, um die Effizienz zu steigern. AWS rät Kunden, Sicherheitskontrollen basierend auf ihrer Umgebung und dem Modell der geteilten Verantwortung zu bewerten und zu implementieren. Schutzmaßnahmen wie HITL und anpassbare Ausführungsrichtlinien sind vorhanden, um eine sichere Einführung zu unterstützen.
Amazon Q Developer and Kiro – Prompt Injection Issues in Kiro and Q IDE plugins aws.amazon.com
RSS Hunter RSS Hunter 7. Okt. 2025

CVE-2025-9039 - Problem mit dem Introspektionsserver des Amazon ECS-Agents

"Bulletin-ID: AWS-2025-018 Geltungsbereich: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 14.08.2025 21:15 Uhr PDTBeschreibung:Amazon Elastic Container Service (Amazon ECS) ist ein vollständig verwalteter Container-Orchestrierungsdienst, mit dem Kunden containerisierte Anwendungen bereitstellen, verwalten und skalieren können. Der Amazon ECS Container-Agent bietet eine Introspektions-API, die Informationen über den Gesamtzustand des Amazon ECS-Agenten und der Container-Instanzen liefert.Wir haben CVE-2025-9039 identifiziert, ein Problem im Amazon ECS-Agenten. Unter bestimmten Bedingungen könnte dieses Problem einem Introspektionsserver ermöglichen, von einer anderen Instanz außerhalb des Hosts aus zugegriffen zu werden, wenn sich die Instanzen in derselben Sicherheitsgruppe befinden oder wenn ihre Sicherheitsgruppen eingehende Verbindungen zum Introspektionsserver-Port zulassen. Dieses Problem betrifft keine Instanzen, bei denen die Option zum Zulassen des Off-Host-Zugriffs auf den Introspektionsserver auf "false" gesetzt ist.Betroffene Versionen:ECS Agent Versionen 0.0.3 bis 1.97.0"
CVE-2025-9039 - Issue with Amazon ECS agent introspection server aws.amazon.com
RSS Hunter RSS Hunter 14. Aug. 2025

CVE-2025-8904 - Problem mit der Amazon EMR Secret Agent-Komponente

"Aktuelles Bulletin: AWS-2025-017Umfang: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 13.08.2025, 10:00 Uhr PDTBeschreibung:Amazon EMR ist eine verwaltete Cluster-Plattform, die das Ausführen von Big-Data-Frameworks auf AWS für die Verarbeitung und Analyse großer Datenmengen vereinfacht.Wir haben ein Problem in der Komponente "Secret Agent" von Amazon EMR identifiziert, das als CVE-2025-8904 bekannt ist. Die Secret-Agent-Komponente speichert Geheimnisse sicher und verteilt sie an andere Amazon EMR-Komponenten und Anwendungen. Wenn Amazon EMR-Cluster mit einer oder mehreren Funktionen von Lake Formation, Apache Ranger, Laufzeitrolle oder Identity Center verwendet werden, die diese Komponente nutzen, erstellt der Secret Agent eine Keytab-Datei mit Kerberos-Anmeldedaten. Diese Datei wird im Verzeichnis /tmp/ gespeichert. Ein Benutzer mit Zugriff auf dieses Verzeichnis und einem anderen Konto kann potenziell die Schlüssel entschlüsseln und zu höheren Berechtigungen aufsteigen.Wir haben einen Fix implementiert, der /tmp/ als Staging-Verzeichnis für Kerberos-Anmeldedaten entfernt und damit die Möglichkeit eliminiert, dass Benutzer auf die Keytab-Datei zugreifen können. Der Fix ist in Amazon EMR-Version 7.5 und höher verfügbar.Betroffene Versionen:Amazon EMR-Version 6.10 bis 7.4"
CVE-2025-8904 - Issue with Amazon EMR Secret Agent component aws.amazon.com
RSS Hunter RSS Hunter 13. Aug. 2025

[Umgeleitet] Speicherabbildproblem in AWS CodeBuild

AWS CodeBuild, ein Continuous-Integration-Dienst, weist eine Sicherheitslücke auf, die eine unbefugte Codeänderung ermöglicht. Sicherheitsforscher haben festgestellt, dass eine bösartige Pull Request zur Extraktion von Repository-Zugriffstoken durch einen Memory-Dump in der CodeBuild-Umgebung führen könnte. Wenn diese Token Schreibberechtigungen haben, könnte ein Angreifer schädlichen Code in das Repository einschleusen. Dieses Problem betrifft alle AWS-Regionen, in denen CodeBuild verwendet wird. Die Schwachstelle wurde nachweislich ausgenutzt, um Zugriffstoken für die Repositories AWS Toolkit for Visual Studio Code und AWS SDK for .NET zu extrahieren, wobei die CVE-2025-8217 zugewiesen wurde. CodeBuild benötigt Repository-Anmeldeinformationen für verschiedene Vorgänge wie den Zugriff auf Inhalte und die Erstellung von Webhooks. Der Erhalt dieser Anmeldeinformationen könnte Angreifern erhöhte Berechtigungen gewähren. Kunden wird geraten, Git-Logs auf verdächtige Aktivitäten im Zusammenhang mit CodeBuild-Anmeldeinformationen zu überprüfen. AWS hat zusätzliche Schutzmaßnahmen gegen Memory-Dumps in Container-Builds implementiert, die den privilegierten Modus verwenden. Aufgrund der Natur von Build-Umgebungen, die Code von Beitragenden ausführen, rät AWS jedoch dringend davon ab, automatische Pull Request-Builds von nicht vertrauenswürdigen Beitragenden zu verwenden. Für öffentliche Repositories, die automatisierte Builds von nicht vertrauenswürdigen Quellen unterstützen müssen, wird die Verwendung von selbstgehosteten GitHub Actions-Runnern in CodeBuild empfohlen, da diese Funktion nicht von der Schwachstelle betroffen ist.
[Redirected] Memory Dump Issue in AWS CodeBuild aws.amazon.com
RSS Hunter RSS Hunter 12. Aug. 2025

Sicherheitsupdate für die Amazon Q Developer Extension für Visual Studio Code (Version #1.84)

Umfang: AWS Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 23.07.2025, 18:00 Uhr PDTBeschreibung:AWS ist sich eines Problems in der Amazon Q-Entwickler-Erweiterung für Visual Studio Code (VSC) bewusst und hat es behoben. Sicherheitsforscher meldeten, dass in der open-source-VSC-Erweiterung ein potenziell ungenehmigter Codeänderungsversuch stattfand, der die Ausführung von Q-Entwickler-CLI-Befehlen zum Ziel hatte. Dieses Problem hatte keine Auswirkungen auf Produktionsdienste oder Endbenutzer.Sobald wir von diesem Problem erfahren haben, haben wir sofort die Anmeldedaten widerrufen und ersetzt, den ungenehmigten Code aus dem Codebasis entfernt und anschließend die Amazon Q-Entwickler-Erweiterung Version 1.85 auf dem Markt veröffentlicht.Betroffene Version: Amazon Q-Entwickler-Erweiterung für Visual Studio Code (Versionen 1.84)
Security Update for Amazon Q Developer Extension for Visual Studio Code (Version #1.84) aws.amazon.com
RSS Hunter RSS Hunter 24. Juli 2025

AWS-2025-014

Umfang: Amazon/AWS-Inhaltstyp: Wichtig (erfordert Aufmerksamkeit) Veröffentlichungsdatum: 23.07.2025 8:30 Uhr PDTBeschreibung:AWS Client VPN ist ein verwalteter, clientbasierten VPN-Dienst, der sicheren Zugriff auf AWS- und lokalen Ressourcen ermöglicht. Die AWS Client VPN-Client-Software läuft auf Endgeräten und unterstützt Windows, macOS und Linux, wodurch Endbenutzern ermöglicht wird, eine sichere Verbindung zum AWS Client VPN-Dienst herzustellen.Wir haben CVE-2025-identifiziert, ein Problem in AWS Client VPN. Während der Installation des AWS Client VPN-Clients auf Windows-Geräten verweist der Installationsprozess auf den Ordner C:\usr\local\windows-x86_64-openssl-localbuild\ssl, um die OpenSSL-Konfigurationsdatei abzurufen. Als Ergebnis könnte ein nicht-administratorischer Benutzer beliebigen Code in die Konfigurationsdatei platzieren. Wenn ein Administrator-Benutzer den AWS Client VPN-Client-Installationsprozess startet, könnte dieser Code mit root-Ebenen-Berechtigungen ausgeführt werden. Dieses Problem betrifft keine Linux- oder Mac-Geräte.Betroffene Version: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1
AWS-2025-014 aws.amazon.com
RSS Hunter RSS Hunter 23. Juli 2025

CVE-2025-6031 - Unsichere Gerätepaarung in nicht mehr unterstützter Amazon Cloud Cam

Umfang: Amazon-Inhaltstyp: Informationsveröffentlichung Datum: 12.06.2025, 10:30 Uhr PDTBeschreibungDie Amazon Cloud Cam ist eine Heim-Sicherheitskamera, die am 2. Dezember 2022 als veraltet erklärt wurde, ist am Ende ihres Lebenszyklus und wird nicht mehr aktiv unterstützt.Wenn ein Benutzer die Amazon Cloud Cam einschaltet, versucht das Gerät, eine Verbindung zu einer entfernten Dienstinfrastruktur herzustellen, die aufgrund ihres End-of-Life-Status veraltet wurde. Das Gerät wechselt in einen Paarungsstatus, bei dem ein beliebiger Benutzer die SSL-Pinning umgehen kann, um das Gerät mit einem beliebigen Netzwerk zu verbinden, was die Abfangung und Modifizierung von Netzwerkverkehr zulässt.Betroffene Version: AlleLösung:Dieses Produkt war ab dem 2. Dezember 2022 und sollte nicht mehr verwendet werden.Bitte senden Sie [email protected] eine E-Mail mit Sicherheitsfragen oder -bedenken.
CVE-2025-6031 - Insecure device pairing in end-of-life Amazon Cloud Cam aws.amazon.com
RSS Hunter RSS Hunter 12. Juni 2025

CVE-2025-5688 - Schreibzugriff außerhalb des Bereichs in FreeRTOS-Plus-TCP

FreeRTOS-Plus-TCP ist eine Open-Source-Implementierung eines TCP/IP-Stacks, die für FreeRTOS konzipiert wurde und eine standardmäßige Berkeley-Sockets-Schnittstelle bietet und unterstützt wesentliche Protokolle. Es bietet zwei Pufferzuweisungsschemata für die Pufferverwaltung. Eine Schwachstelle, CVE-2025-5688, wurde identifiziert, die es ermöglicht, bei der Verarbeitung von LLMNR- oder mDNS-Anfragen mit sehr langen DNS-Namen außerhalb des gültigen Bereichs zu schreiben. Dieses Problem betrifft nur Systeme, die den Pufferzuweisungsschema 1 mit LLMNR oder mDNS aktiviert haben. Die betroffenen Versionen sind v2.3.4 bis v4.3.1, wenn LLMNR mit Pufferzuweisungsschema 1 verwendet wird, und v4.0.0 bis v4.3.1, wenn mDNS mit Pufferzuweisungsschema 1 verwendet wird. Das Problem wurde in FreeRTOS-Plus-TCP-Version 4.3.2 behoben, und es wird empfohlen, auf die neueste Version upzudaten und sicherzustellen, dass alle abgeleiteten oder abgeleiteten Code-Patches erhalten haben. Es gibt keine Umgehungen für dieses Problem. Die Purdue-Universität hat an diesem Problem durch den koordinierten Schwachstellen-Offenlegungsprozess mitgewirkt. Das Problem wird als CVE-2025-5688 und GHSA-5x4f-fvv8-wr65 referenziert. Alle Sicherheitsfragen oder -bedenken können an [email protected] per E-Mail gesendet werden.
CVE-2025-5688 - Out of Bounds Write in FreeRTOS-Plus-TCP aws.amazon.com
RSS Hunter RSS Hunter 4. Juni 2025

CVE-2025-5279 – Problem mit dem Amazon Redshift Python Connector und dem BrowserAzureOAuth2CredentialsProvider Plugin

Der Amazon Redshift Python Connector ist ein reiner Python-Connector, der die Python Database API 2.0 implementiert. Im Amazon Redshift Python Connector wurde ein Problem, das als CVE-2025-5279 identifiziert wurde, in den Versionen 2.0.872 bis 2.1.6 gefunden. Das Problem tritt auf, wenn der Connector mit dem BrowserAzureOAuth2CredentialsProvider-Plugin konfiguriert ist, das die SSL-Zertifikatsvalidierung für den Identity Provider überspringt. Dies ermöglicht es einem Angreifer, den Austauschprozess abzufangen und ein Zugriffstoken abzurufen. Das Problem wurde in der Treiberversion 2.1.7 behoben. Benutzer sollten auf diesen neuen Treiber aktualisieren, um das Problem zu beheben und sicherzustellen, dass alle geforkten oder abgeleiteten Codes gepatcht werden. Die betroffenen Versionen sind 2.0.872 bis 2.1.6. Die Lösung besteht darin, auf Version 2.1.7 zu aktualisieren und alle geforkten oder abgeleiteten Codes zu patchen. Bei Sicherheitsfragen oder Bedenken senden Sie eine E-Mail an [email protected]. Auf das Problem wurde als CVE-2025-5279 und GHSA-r244-wg5g-6w2r verwiesen.
CVE-2025-5279 - Issue with Amazon Redshift Python Connector and the BrowserAzureOAuth2CredentialsProvider plugin aws.amazon.com
RSS Hunter RSS Hunter 27. Mai 2025

CVE-2025-4318 - Eingabevalidierungsproblem in Eigenschaften von AWS Amplify Studio-Benutzeroberflächenelementen

Das Paket amplify-codegen-ui von AWS Amplify Studio, Version 2.20.2 und darunter, enthält eine Schwachstelle (CVE-2025-4318). Diese Schwachstelle ist ein Problem bei der Eingabevalidierung, das Eigenschaften von UI-Komponenten betrifft. Böswillige Akteure könnten während der Komponentenrenderung und -erstellung beliebigen JavaScript-Code injizieren. Die Schwachstelle besteht in der fehlenden Schema-Eigenschaftsvalidierung in der expression-binding-Funktion. Authentifizierte Benutzer mit Berechtigungen zur Komponentenerstellung/-änderung sind gefährdet. Das Problem wurde in Version 2.20.3 behoben. Ein Upgrade auf 2.20.3 ist entscheidend, um dieses Risiko zu minimieren. Benutzer sollten auch gepatchte oder abgeleitete Code anpassen. Kontaktieren Sie [email protected] für Sicherheitsanfragen. Die Schwachstellen-ID ist GHSA-hf3j-86p7-mfw8.
CVE-2025-4318 - Input validation issue in AWS Amplify Studio UI component properties aws.amazon.com
RSS Hunter RSS Hunter 5. Mai 2025

CVE-2025-3857 - Bedingung für Endlosschleife in Amazon.IonDotnet

Die .NET-Bibliothek Amazon.IonDotnet zur Serialisierung von Ion-Daten wies eine Sicherheitslücke (CVE-2025-3857) auf. Diese Sicherheitslücke verursachte bei der Deserialisierung fehlerhafter binärer Ion-Daten eine Endlosschleife. Diese Endlosschleife führte zu einem Denial-of-Service-Angriff (DoS). Betroffen war die Version 1.3.0 und ältere Versionen. Version 1.3.1 enthält einen Patch für diese Sicherheitslücke. Benutzer werden dringend aufgefordert, unverzüglich auf Version 1.3.1 zu aktualisieren. Auch Forks und abgeleitete Codes müssen gepatcht werden. Symbotic hat bei der Offenlegung der Sicherheitslücke zusammengearbeitet. Bei dem Problem handelt es sich um eine Denial-of-Service-Sicherheitslücke, nicht um einen Datenverlust. Bei Sicherheitsbedenken wenden Sie sich bitte an [email protected].
CVE-2025-3857 - Infinite loop condition in Amazon.IonDotnet aws.amazon.com
RSS Hunter RSS Hunter 21. Apr. 2025

Problem mit AWS SAM CLI (CVE-2025-3047, CVE-2025-3048)

Die AWS Serverless Application Model-Befehlszeilenschnittstelle (AWS SAM CLI) ist ein Open-Source-Tool, das Entwicklern hilft, Lambda-Anwendungen lokal mit Docker zu erstellen und zu entwickeln. Es wurden jedoch zwei Sicherheitsprobleme in der AWS SAM CLI identifiziert, und ein Fix wurde veröffentlicht, um sie zu beheben. Benutzern wird empfohlen, auf die neueste Version upzugraden, um diese Probleme zu lösen und sicherzustellen, dass alle abgeleiteten oder abgeleiteten Code-Patches erhalten. Das erste Problem, CVE-2025-3047, ermöglicht es einem Benutzer, privilegierte Dateien auf dem Host zu lesen, indem er die erhöhten Berechtigungen nutzt, die dem Tool während des Build-Prozesses mit Docker und Symlinks gewährt werden. Dieses Problem betrifft AWS SAM CLI-Versionen <= v1.132.0 und wurde in v1.133.0 behoben. Um das vorherige Verhalten beizubehalten, können Benutzer den Parameter '--mount-symlinks' verwenden. Das zweite Problem, CVE-2025-3048, ermöglicht es einem Benutzer, eingeschränkte Dateien über Symlinks zu lesen, die in den Cache des lokalen Arbeitsbereichs kopiert wurden. Dieses Problem betrifft AWS SAM CLI-Versionen <= v1.133.0 und wurde in v1.134.0 behoben. Nach dem Upgrade müssen Benutzer ihre Anwendungen mit dem Befehl 'sam build --use-container' neu erstellen, um die Symlinks zu aktualisieren. Die betroffenen Versionen sind <= AWS SAM CLI v1.133.0, und die Lösung besteht darin, auf die neueste Version upzugraden und alle abgeleiteten oder abgeleiteten Code-Patches zu erhalten. Das GitHub Security Lab wird für die Zusammenarbeit an diesem Problem durch den koordinierten Schwachstellen-Offenlegungsprozess anerkannt.
Issue with AWS SAM CLI (CVE-2025-3047, CVE-2025-3048) aws.amazon.com
RSS Hunter RSS Hunter 31. März 2025

Problem mit Tough, Versionen vor 0.20.0 (Mehrere CVEs)

Das Update Framework (TUF) ist ein Software-Framework, das entwickelt wurde, um Mechanismen zu schützen, die automatisch Software-Updates identifizieren und herunterladen. Die "tough"-Bibliothek ist ein Rust-Client für TUF-Repositories. AWS hat mehrere Probleme in "tough"-Versionen vor 0.20.0 identifiziert, die in der neuesten Version behoben wurden. Zu den Problemen gehören die fehlende Validierung der Root-Metadaten-Versionsnummer, eine fehlerhafte Signaturprüfung, das Caching von Zeitstempel-Metadaten trotz Ablehnung und eine unvollständige Rollback-Erkennung. Diese Probleme werden unter CVE-2025-2885, CVE-2025-2886, CVE-2025-2888 und CVE-2025-2887 nachverfolgt. Betroffen sind Versionen vor 0.20.0. Um diese Probleme zu beheben, wird Benutzern empfohlen, auf "tough" Version 0.20.0 oder höher zu aktualisieren. Patches für diese Probleme sind in der neuesten Version enthalten. AWS dankt Google für die Zusammenarbeit an diesem Problem durch den koordinierten Verfahren zur Offenlegung von Sicherheitslücken. Benutzer mit Sicherheitsfragen oder -bedenken können eine E-Mail an [email protected] senden.
Issue with tough, versions prior to 0.20.0 (Multiple CVEs) aws.amazon.com
RSS Hunter RSS Hunter 27. März 2025

Probleme mit dem Kubernetes ingress-nginx-Controller (Mehrere CVEs)

AWS ist sich mehrerer Schwachstellen im Kubernetes-Ingress-nginx-Controller bewusst, einschließlich CVE-2025-1098, CVE-2025-1974, CVE-2025-1097, CVE-2025-24514 und CVE-2025-24513. Der Amazon Elastic Kubernetes Service ist von diesen Problemen nicht betroffen, da er den Ingress-nginx-Controller nicht bereitstellt oder installiert. Kunden, die jedoch diesen Controller auf ihren Clustern installiert haben, werden empfohlen, auf die neueste Version upzudaten, um die Schwachstellen zu beheben. Kunden mit Sicherheitsfragen oder -bedenken können [email protected] für Unterstützung kontaktieren.
Issues with Kubernetes ingress-nginx controller (Multiple CVEs) aws.amazon.com
RSS Hunter RSS Hunter 24. März 2025

Problem mit der AWS CDK-CLI und benutzerdefinierten Anmeldeinformationen-Plugins (CVE-2025-2598)

AWS hat eine Sicherheitslücke, CVE-2025-2598, im AWS CDK CLI identifiziert. Diese Problematik betrifft die Versionen 2.172.0 bis 2.178.1 des CDK CLI. Die Sicherheitslücke tritt auf, wenn Anmeldeinformations-Plugins verwendet werden, die konfiguriert sind, um temporäre Anmeldeinformationen mit einem Ablaufdatum bereitzustellen. Diese Konfiguration kann unbeabsichtigt dazu führen, dass die Anmeldeinformationen im Konsolenausgabe gedruckt werden. Dies gibt die Anmeldeinformationen preis für jeden, der Zugriff auf die Konsole hat, auf der das CDK CLI ausgeführt wurde. AWS hat ein Update bereitgestellt, und Benutzer sollten auf Version 2.178.2 oder höher aktualisieren. Um eine mögliche Auswirkung zu überprüfen, sollten Kunden die Protokolle für Ausführungen nach dem 6. Dezember 2024 überprüfen. Suchen Sie nach Anmeldeinformationsinformationen im Konsolenausgabe. Wenn Anmeldeinformationen gefunden werden, minimieren Sie das Risiko, indem Sie temporäre Anmeldeinformationen widerrufen. Beschränken Sie den Zugriff auf die Konsole und rotieren Sie alle langfristigen Anmeldeinformationen. Verweisen Sie auf die AWS CDK CLI-Bibliothek für Details zu benutzerdefinierten Anmeldeinformations-Plugins. Das Update ist in Version 2.178.2 verfügbar.
Issue with the AWS CDK CLI and custom credential plugins (CVE-2025-2598) aws.amazon.com
RSS Hunter RSS Hunter 21. März 2025

Problem mit dem AWS-Anmelde-IAM-Benutzeranmeldefluss – Mögliche Benutzernamenaufzählung (CVE-2025-0693)

Eine Sicherheitslücke, als CVE-2025-0693 identifiziert, wurde im AWS Identity and Access Management (AWS IAM) Anmeldeprozess entdeckt. Dieses Problem ermöglichte es einem Angreifer, AWS IAM-Benutzernamen aufzulisten, indem die Server-Antwortzeiten während Anmeldeversuchen gemessen wurden. Variationen in den Antwortzeiten konnten aufdecken, ob ein übermittelter AWS IAM-Benutzername im Konto existierte. Allerdings reichen Benutzernameninformationen allein nicht aus, um sich zu authentifizieren oder auf AWS-Ressourcen zuzugreifen. Für den vollständigen Zugriff auf ein Konto ist eine vollständige Authentifizierung erforderlich, einschließlich Kontokennung, Benutzername, Passwort und Multi-Faktor-Authentifizierung. AWS verfügt über mehrere Schutzschichten, um potenziellen Missbrauch von Anmelde-Endpunkten zu überwachen und darauf zu reagieren. Betroffen sind Versionen des AWS Sign-in IAM-Benutzeranmeldeprozesses vor dem 16. Januar 2025. AWS hat eine Verzögerung der Antwortzeiten bei allen Authentifizierungsfehlern eingeführt, um vor der Auflistung gültiger Benutzernamen zu schützen. Es sind keine Maßnahmen seitens der Kunden erforderlich, und Kunden können die Anmeldeaktivitäten mithilfe von AWS CloudTrail überwachen. Rhino Security Labs hat im Rahmen eines koordinierten Prozesses zur Offenlegung von Sicherheitslücken bei der Behebung dieses Problems mitgewirkt.
Issue with AWS Sign-in IAM User Login Flow – Possible Username Enumeration (CVE-2025-0693) aws.amazon.com
RSS Hunter RSS Hunter 23. Jan. 2025

Problem mit Amazon WorkSpaces, Amazon AppStream 2.0 und Amazon DCV (CVE-2025-0500 und CVE-2025-0501)

AWS hat zwei Probleme in bestimmten Versionen von nativen Clients für Amazon WorkSpaces, Amazon AppStream 2.0 und Amazon DCV identifiziert. Diese Probleme könnten es bösen Akteuren ermöglichen, Man-in-the-Middle-Angriffe durchzuführen und auf Remote-Sitzungen zuzugreifen. AWS hat Kunden proaktiv über das Ende der Unterstützung für die betroffenen Versionen informiert. Das erste Problem, CVE-2025-0500, betrifft bestimmte Versionen von Clients für Amazon WorkSpaces, Amazon AppStream 2.0 und Amazon DCV. Die betroffenen Versionen umfassen Amazon WorkSpaces-Clients 5.20.0 oder früher, Amazon AppStream 2.0-Clients 1.1.1326 oder früher und Amazon DCV-Clients 2023.1.8993 oder früher. Das Problem wurde in späteren Versionen der Clients behoben, einschließlich Amazon WorkSpaces-Clients 5.21.0 oder später, Amazon AppStream 2.0-Clients 1.1.1332 oder später und Amazon DCV-Clients 2023.1.9127 oder später. Das zweite Problem, CVE-2025-0501, betrifft bestimmte Versionen von Amazon WorkSpaces-Clients, einschließlich Windows-Client 5.22.0 oder früher, macOS-Client 5.22.0 oder früher, Linux-Client 2024.5 oder früher und Android-Client 5.0.0 oder früher. Das Problem wurde in späteren Versionen der Amazon WorkSpaces-Clients behoben, einschließlich Windows-Client 5.22.1 oder später, macOS-Client 5.22.1 oder später, Linux-Client 2024.6 oder später und Android-Client 5.0.1 oder später. Kunden werden empfohlen, auf die behobenen Versionen upzudaten, um die Probleme zu beheben. Alle Sicherheitsfragen oder Bedenken können an [email protected] gerichtet werden.
Issue with Amazon WorkSpaces, Amazon AppStream 2.0, and Amazon DCV (CVE-2025-0500 and CVE-2025-0501) aws.amazon.com
RSS Hunter RSS Hunter 15. Jan. 2025

Problem mit RedShift JDBC-Treiber, Python-Connector und ODBC-Treiber - (CVE-2024-12744, CVE-2024-12745, CVE-2024-12746)

Am 23. Dezember 2024 veröffentlichte AWS ein Update für den Amazon Redshift JDBC-Treiber, den Python-Connector und den ODBC-Treiber, um mehrere Sicherheitsprobleme zu beheben. Der Amazon Redshift JDBC-Treiber in der Version 2.1.0.31 enthält eine SQL-Injektions-Schwachstelle in den getSchemas-, getTables- oder getColumns-Metadaten-APIs, die in der Version 2.1.0.32 behoben wurde. Der Python-Connector in der Version 2.1.4 hat ein ähnliches Problem, das in der Version 2.1.5 behoben wurde. Der ODBC-Treiber in der Version 2.1.5.0 hat ebenfalls ein SQL-Injektionsproblem, das in der Version 2.1.6.0 behoben wurde. Betroffene Nutzer werden empfohlen, auf die neuesten Versionen zu aktualisieren oder auf vorherige sichere Versionen zurückzukehren. Für den JDBC-Treiber sollten Nutzer auf die Version 2.1.0.32 oder 2.1.0.30 umsteigen. Für den Python-Connector wird die Version 2.1.5 oder 2.1.3 empfohlen. ODBC-Treiber-Nutzer sollten auf die Version 2.1.6.0 oder 2.1.4.0 umsteigen. Bei Sicherheitsbedenken oder Fragen sollte man sich an [email protected] wenden.
Issue with RedShift JDBC Driver, Python Connector and ODBC Driver - (CVE-2024-12744, CVE-2024-12745, CVE-2024-12746) aws.amazon.com
RSS Hunter RSS Hunter 24. Dez. 2024

Problem mit DynamoDB lokal - CVE-2022-1471

Veröffentlichungsdatum: 2024/12/11 14:00 PSTAWS ist sich des CVE-2022-1471 in SnakeYaml-Software bewusst, das in DynamoDB-Local-JAR- und Docker-Distributionen ab Version 1.21 und Version 2.0 enthalten ist. Wenn dies ausgenutzt würde, könnte dies einem Akteur ermöglichen, Remote-Code-Ausführung durchzuführen, indem SnakeYaml's Constructor() verwendet wird, da die Software keine Einschränkungen für die Typen vorsieht, die während der Deserialisierung instanziert werden können. AWS hat keine Beweise dafür gefunden, dass dieses Problem genutzt wurde, aber Kunden sollten dennoch Maßnahmen ergreifen. Am 6. November 2024 haben wir ein Fix für dieses Problem veröffentlicht. Kunden sollten DynamoDB lokal auf die neueste Version aktualisieren: v1.25.1 und höher, oder 2.5.3 und höher.Bitte senden Sie uns bei Sicherheitsfragen oder -bedenken eine E-Mail an [email protected].
Issue with DynamoDB local - CVE-2022-1471 aws.amazon.com
RSS Hunter RSS Hunter 11. Dez. 2024

Problem mit data.all (Mehrere CVEs)

Data.all ist ein Open-Source-Entwicklungsframework, das Kunden hilft, einen Datenmarkt auf AWS zu erstellen. Das Framework hat mehrere Probleme in den Versionen 1.0.0 bis 2.6.0 identifiziert. Am 8. November 2024 wurde ein Fix veröffentlicht und Kunden wird empfohlen, auf Version 2.6.1 oder höher zu aktualisieren. Die Probleme sind mit Sicherheitslücken verbunden, einschließlich CVE-2024-52311, die die Ungültigmachung von Authentifizierungstoken beim Abmelden eines Benutzers betrifft. CVE-2024-52312 ermöglicht authentifizierten Benutzern, eingeschränkte Operationen auf Daten-Sets und Umgebungen durchzuführen. CVE-2024-52313 betrifft falsche Objekt-Ebenen-Autorisierungen für authentifizierte Benutzer. CVE-2024-52314 ermöglicht Admin-Benutzern, sensible Daten zu lesen, die von Produzenten über Protokolle gespeichert werden. Zusätzlich ermöglicht CVE-2024-10953 authentifizierten Benutzern, mutierende Update-Operationen auf persistierten Benachrichtigungsdatensätzen durchzuführen. Die Sicherheitsberichte für diese Probleme können auf GitHub gefunden werden. Kunden mit Sicherheitsfragen oder Bedenken können [email protected] kontaktieren.
Issue with data.all (Multiple CVEs) aws.amazon.com
RSS Hunter RSS Hunter 9. Nov. 2024

CVE-2024-8901 - Fehlende JWT-Issuer- und Signer-Validierung in aws-alb-route-directive-adapter-for-istio

Ein Sicherheitsfehler wurde im AWS ALB Route Directive Adapter For Istio-Repository entdeckt, das in das Kubeflow-Projekt integriert ist. Der Adapter verwendet JWT für die Authentifizierung, aber verfügt nicht über eine ordnungsgemäße Überprüfung des Signers und des Ausstellers. Diese Schwachstelle kann in ungewöhnlichen ALB-Bereitstellungen ausgenutzt werden, in denen Endpunkte dem Internetverkehr ausgesetzt sind, sodass ein Angreifer die Authentifizierung umgehen kann, indem er ein JWT von einer nicht vertrauenswürdigen Entität signiert. Die betroffenen Versionen sind v1.0 und v1.1. Das Repository wurde veraltet und wird nicht mehr aktiv unterstützt. Als Sicherheitsbest-Practice wird den Benutzern empfohlen, sicherzustellen, dass ihre ELB-Ziele keine öffentlichen IP-Adressen haben. Darüber hinaus sollten die Benutzer überprüfen, ob das Attribut "signer" im JWT mit der ARN der Application Load Balancer übereinstimmt. Die ALB-Dokumentation bietet Anleitungen zur Überprüfung der Signatur und zur Validierung des Signer-Felds im JWT-Header. Die Schwachstelle wurde als CVE-2024-8901 klassifiziert und ein GitHub-Sicherheitsbericht wurde veröffentlicht. Benutzer mit Sicherheitsfragen oder -bedenken werden gebeten, [email protected] zu kontaktieren.
CVE-2024-8901 - missing JWT issuer and signer validation in aws-alb-route-directive-adapter-for-istio aws.amazon.com
RSS Hunter RSS Hunter 21. Okt. 2024

CVE-2024-10125 - Fehlende JWT-Issuer- und Signer-Validierung in aws-alb-identity-aspnetcore

Das Repository Amazon.ApplicationLoadBalancer.Identity.AspNetCore enthält Middleware für die Verwendung mit der Application Load Balancer OpenId Connect-Integration in ASP.NET Core-Bereitstellungen. Allerdings hat der JWT-Handling-Code im Repository ein Sicherheitsproblem, da er den JWT-Issuer und die Signer-Identität nicht validiert. Dieses Sicherheitsproblem kann ausgenutzt werden, wenn der Infrastruktur-Besitzer Internet-Verkehr zu den ALB-Zielen zulässt, was einem unvertrauenswürdigen Akteur ermöglicht, JWTs zu signieren und gültige OIDC-föderierte Sitzungen zu imitieren. Alle Versionen des Repositorys sind von diesem Sicherheitsproblem betroffen. Das Repository ist veraltet und wird nicht länger aktiv unterstützt. Als Sicherheitsbest-Practice sollten Benutzer sicherstellen, dass ihre ELB-Ziele keine öffentlichen IP-Adressen haben. Darüber hinaus sollten Benutzer validieren, dass das Signer-Attribut im JWT dem ARN des Application Load Balancer entspricht. Diese Validierung ist entscheidend, um Sicherheitsverletzungen zu verhindern. Die ALB-Dokumentation bietet Anleitung zum Überprüfen der Signatur und Validieren des Signer-Felds im JWT-Header. Ein CVE wurde diesem Sicherheitsproblem zugewiesen, CVE-2024-10125. Benutzer mit Sicherheitsfragen oder -bedenken können sich an [email protected] wenden, um Hilfe zu erhalten.
CVE-2024-10125 - missing JWT issuer and signer validation in aws-alb-identity-aspnetcore aws.amazon.com
RSS Hunter RSS Hunter 21. Okt. 2024