Problème de vidage de mémoire dans AWS CodeBuild
ID du bulletin : AWS-2025-016
Étendue : AWS
Type de contenu : important
Date de publication : 25/07/2025 à 18 h (heure du Pacifique)
Description
AWS CodeBuild est un service d’intégration continu à la demande entièrement géré qui compile le code source, exécute des tests et produit des packages logiciels prêts à être déployés.
Des chercheurs en sécurité ont signalé un problème lié à CodeBuild qui pourrait être exploité pour modifier du code non approuvé en l’absence de contrôles suffisants de référentiel et de limitations appropriées des informations d’identification. Les chercheurs ont démontré comment un acteur malveillant pouvait soumettre une demande de tirage (Pull Request – PR) qui, si elle était exécutée via un processus de génération automatique de CodeBuild, pourrait extraire le jeton d’accès au référentiel de code source (par exemple GitHub, BitBucket ou GitLab) via un vidage de mémoire dans l’environnement de génération CodeBuild. Si le jeton d’accès dispose d’autorisations d’écriture, l’acteur de la menace pourrait transmettre du code malveillant au référentiel. Ce problème est présent dans toutes les régions pour CodeBuild.
Au cours de notre enquête, nous avons découvert que cette technique avait été exploitée par un acteur malveillant, qui avait extrait le jeton d’accès au référentiel de code source pour les référentiels d’AWS Toolkit pour Visual Studio Code et d’AWS SDK pour .NET. Nous avons attribué le code CVE-2025-8217 à ce problème. Consultez le bulletin de sécurité AWS AWS-2025-015 pour plus d’informations.
Les informations d’identification du référentiel de code source sont requises dans CodeBuild pour accéder au contenu du référentiel, créer des webhooks pour les générations automatisées et exécuter la génération en votre nom. Si l’auteur d’une demande de tirage obtient les informations d’identification du référentiel de CodeBuild, il peut obtenir des autorisations élevées au-delà de son niveau d’accès normal. En fonction des autorisations accordées par les clients dans CodeBuild, ces informations d’identification peuvent autoriser des privilèges élevés, comme la création de webhooks, dont CodeBuild a besoin pour intégrer les référentiels de code source et configurer des générations automatisées, ou pour valider le code dans le référentiel.
Pour déterminer si ce problème a été exploité par un contributeur non fiable, nous vous recommandons de consulter les journaux git, par exemple les journaux GitHub, et de rechercher une activité anormale liée aux informations d’identification accordées à CodeBuild.
Nous mettrons à jour ce bulletin si nous avons des informations supplémentaires à partager.
Résolution du problème
CodeBuild a inclus des protections supplémentaires contre les vidages de mémoire dans les générations de conteneur utilisant le mode non privilégié. Cependant, étant donné que les générations exécutent du code validé par les contributeurs dans l’environnement de génération, elles ont accès à tout ce à quoi l’environnement de génération a accès. Par conséquent, nous recommandons vivement aux clients de ne pas utiliser les générations automatiques de demandes de tirage provenant de contributeurs de référentiel non fiables. Pour les référentiels publics qui souhaitent continuer à prendre en charge la génération automatique de contributions non fiables, nous vous conseillons d’utiliser la fonctionnalité de runners GitHub Actions auto-hébergée dans CodeBuild, car elle n’est pas affectée par ce problème.
Pour désactiver les générations automatiques de demandes de tirage provenant de contributeurs non fiables, adoptez l’une des approches suivantes :
- Désactivez les générations de webhook en décochant « Générer à nouveau chaque fois qu’une modification de code est envoyée à ce référentiel » dans la console CodeBuild.
- Définissez un filtre d’événements de webhook pour ne pas autoriser les générations automatiques à partir d’événements de demande de tirage.
- Définissez un filtre d’acteur de webhook pour autoriser les générations de demande de tirage provenant uniquement d’utilisateurs de confiance.
Si les clients utilisent la fonction de génération automatique pour les demandes de tirage des contributeurs non fiables et que les informations d’identification ou le jeton d’accès fournis à l’environnement CodeBuild disposent d’autorisations d’écriture, nous vous recommandons de modifier ces informations d’identification. En général, nous vous recommandons de passer en revue les autorisations d’écriture et de les révoquer sauf si elles sont absolument nécessaires.
Références
Remerciements
Nous tenons à remercier les chercheurs de l’Institut d’ingénierie de l’information de l’Académie chinoise des sciences pour leur collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.
Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.