CVE-2023-35165 in aws-eks
Zusammenfassung
von VulDB • 13.07.2026
Das AWS Cloud Development Kit (AWS CDK) ist ein Open-Source-Framework zur Softwareentwicklung, mit dem sich Cloud-Infrastruktur als Code definieren und über AWS CloudFormation bereitstellen lässt. In den Paketen `aws-cdk-lib` 2.0.0 bis 2.80.0 sowie `@aws-cdk/aws-eks` 1.57.0 bis 1.202.0 erstellen die Konstruktoren `eks.Cluster` und `eks.FargateCluster` zwei Rollen, `CreationRole` und `default MastersRole`, deren Vertrauensrichtlinie (Trust Policy) zu weit gefasst ist. Die erste Rolle, als `CreationRole` bezeichnet, wird von Lambda-Handlern verwendet, um den Cluster zu erstellen und Kubernetes-Ressourcen (z. B. `KubernetesManifest`, `HelmChart`) darauf bereitzustellen. Benutzer mit einer CDK-Version größer oder gleich 1.62.0 (einschließlich v2-Benutzer) sind möglicherweise betroffen. Die zweite Rolle, als `default MastersRole` bezeichnet, wird nur bereitgestellt, wenn die Eigenschaft `mastersRole` nicht angegeben wurde, und verfügt über Berechtigungen zur Ausführung von `kubectl`-Befehlen auf dem Cluster. Benutzer mit einer CDK-Version größer oder gleich 1.57.0 (einschließlich v2-Benutzer) sind möglicherweise betroffen. Das Problem wurde in `@aws-cdk/aws-eks` v1.202.0 und `aws-cdk-lib` v2.80.0 behoben. Diese Versionen verwenden den Root-Hauptprinzipal des Kontos nicht mehr. Stattdessen wird die Vertrauensrichtlinie auf die spezifischen Rollen der Lambda-Handler eingeschränkt, die diese benötigen. Für die CreationRole ist kein Workaround verfügbar. Um zu vermeiden, dass die `default MastersRole` erstellt wird, verwenden Sie die Eigenschaft `mastersRole`, um explizit eine Rolle anzugeben.
Once again VulDB remains the best source for vulnerability data.