この日はセキュリティ速報が1件公開された。Amazon EMR の Secret Agent コンポーネントに関する CVE-2025-8904 で、Lake Formation、Apache Ranger、ランタイムロール、Identity Center のいずれかの機能を使用する EMR クラスターにおいて、Kerberos 認証情報を含む keytab ファイルが /tmp/ ディレクトリに保存される問題。当該ディレクトリと別アカウントにアクセスできるユーザーがキーを復号し、権限昇格できる可能性があった。AWS は /tmp/ をステージングディレクトリから除外する修正を実施し、Amazon EMR 7.5 以降で提供している。影響を受けるのはバージョン6.10から7.4。
Amazon EMR Secret AgentのCVE-2025-8904: keytabファイルが/tmp/に保存され権限昇格の恐れ。EMR 6.10〜7.4が影響を受け、7.5以降で修正済み
Bulletin ID: AWS-2025-017
Scope: AWS
Content Type: Important (requires attention)
Publication Date: 2025/08/13 10:00 PM PDT
Description:
Amazon EMR is a managed cluster platform that simplifies running big data frameworks on AWS to process and analyze vast amounts of data.
We identified CVE-2025-8904, an issue in the Amazon EMR Secret Agent component. The Secret Agent component securely stores secrets and distributes secrets to other Amazon EMR components and applications. When using Amazon EMR clusters with one or more Lake Formation, Apache Ranger, runtime role, or Identity Center feature that uses this component, Secret Agent creates a keytab file containing Kerberos credentials. This file is stored in the /tmp/ directory. A user with access to this directory and another account can potentially decrypt the keys and escalate to higher privileges.
We implemented a fix that removes /tmp/ as a staging directory for Kerberos credentials, eliminating the possibility of users accessing the keytab file. The fix is available in Amazon EMR release 7.5 and higher.
Affected versions:
Amazon EMR version 6.10 through 7.4