CRITICAL🇬🇧 English

CVE-2025-8904

Amazon EMR Secret Agent: niezabezpieczony plik keytab Kerberos w /tmp/

CVSS 9.0v4.0pub. 2025-08-13upd. 2026-04-15

Amazon EMR Secret Agent zapisuje plik keytab zawierający dane uwierzytelniające Kerberos w katalogu /tmp/, który może być dostępny dla innych użytkowników systemu. Podatność pozwala na odszyfrowanie kluczy Kerberos i eskalację uprawnień do wyższego poziomu dostępu.

Pokaż oryginał (EN)

Amazon EMR Secret Agent creates a keytab file containing Kerberos credentials. This file is stored in the /tmp/ directory. A user with access to this directory and another account can potentially decrypt the keys and escalate to higher privileges. Users are advised to upgrade to Amazon EMR version 7.5 or higher. For Amazon EMR releases between 6.10 and 7.4, we strongly recommend that you run the bootstrap script and RPM files with the fix provided in the location below.

🤖 Analiza AI
Jak działa

Komponent Secret Agent w Amazon EMR tworzy plik keytab z poświadczeniami Kerberos i umieszcza go w katalogu /tmp/. Katalog ten jest zazwyczaj współdzielony między użytkownikami systemu. Lokalny użytkownik posiadający dostęp do /tmp/ oraz do dodatkowego konta może odczytać plik keytab, a następnie odszyfrować zawarte w nim klucze (CWE-257: przechowywanie hasła w odwracalnie zaszyfrowanej formie). Umożliwia to przejęcie tożsamości Kerberos i privilege escalation.

Skutki

Atakujący z dostępem lokalnym może odszyfrować poświadczenia Kerberos i eskalować uprawnienia do wyższego poziomu, potencjalnie uzyskując dostęp do zasobów klastra EMR chronionych przez Kerberos.

Mitygacja

Należy zaktualizować Amazon EMR do wersji 7.5 lub wyższej. Dla wersji z zakresu 6.10–7.4 producent zaleca uruchomienie dostarczonego skryptu bootstrap oraz plików RPM z poprawką, zgodnie z informacjami zawartymi w biuletynie bezpieczeństwa AWS-2025-017 (https://aws.amazon.com/security/security-bulletins/AWS-2025-017/).

Kogo dotyczy

Amazon EMR w wersjach od 6.10 do 7.4 oraz wcześniejszych korzystających z komponentu Secret Agent z obsługą Kerberos.

Uwagi

Producent (AWS) opublikował dedykowany biuletyn bezpieczeństwa AWS-2025-017. Podatność wymaga posiadania lokalnego dostępu do systemu oraz konta użytkownika, co ogranicza powierzchnię ataku, jednak wysoki wynik CVSS 9.0 wynika z potencjalnego wpływu na poufność, integralność i dostępność zarówno środowiska lokalnego, jak i systemów powiązanych.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje