公告 ID：AWS-2025-017 范围：AWS 内容类型：重要（需要关注） 发布日期：2025 年 8 月 13 日太平洋标准时间晚上 10:00说明：Amazon EMR 是一个托管集群平台，可简化在 AWS 上运行大数据框架，以处理和分析海量数据。我们发现了一个 CVE-2025-8904，这是 Amazon EMR Secret Agent 组件中的一个问题。Secret Agent 组件安全地存储敏感信息，并将敏感信息分发给其他 Amazon EMR 组件和应用程序。当使用 Amazon EMR 集群并启用一个或多个 Lake Formation、Apache Ranger、运行时角色或使用此组件的 Identity Center 功能时，Secret Agent 会创建一个包含 Kerberos 凭据的 keytab 文件。该文件存储在 /tmp/ 目录下。拥有该目录访问权限的用户以及另一个账户，有可能解密密钥并升级到更高的权限。我们已实施修复，移除了 /tmp/ 作为 Kerberos 凭据的暂存目录，从而消除了用户访问 keytab 文件的可能性。此修复程序已在 Amazon EMR 7.5 及更高版本中提供。受影响的版本：Amazon EMR 版本 6.10 至 7.4