写点什么

Amazon Q Developer 扩展安全漏洞分析与修复指南

作者:qife122
  • 2025-09-29
    福建
  • 本文字数:910 字

    阅读完需:约 3 分钟

Amazon Q Developer for Visual Studio Code 扩展安全更新(版本 1.84)

范围: AWS


内容类型: 重要(需要关注)


发布日期: 2025 年 7 月 23 日 下午 6:00 PDT


更新日期: 2025 年 7 月 25 日 下午 6:00 PDT

描述

Amazon Q Developer for Visual Studio Code(VS Code)扩展是一款开发工具,将 Amazon Q 的 AI 驱动编码助手直接集成到 VS Code 集成开发环境(IDE)中。


AWS 已发现并解决了 Amazon Q Developer for VS Code 扩展中的一个问题,该问题被分配为 CVE-2025-8217。


在我们对 AWS-2025-016 的调查过程中,我们确定 Amazon Q Developer for VS Code 扩展在其 CodeBuild 配置中存在一个权限范围不当的 GitHub 令牌。攻击者利用该访问令牌将恶意代码提交到扩展的开源仓库中,这些代码被自动包含在一个发布版本中。发现此问题后,我们立即撤销并替换了凭据,从代码库中移除了恶意代码,随后发布了 Amazon Q Developer for VS Code 扩展版本 1.85.0。


AWS 安全部门已检查代码,并确定恶意代码随扩展分发,但由于语法错误未能成功执行。这阻止了恶意代码对任何服务或客户环境进行更改。


如果我们有更多信息需要分享,将更新此公告。

受影响版本

Amazon Q Developer for Visual Studio Code 扩展(版本 1.84.0)

解决方案

AWS 已采取所有必要的缓解措施来保护 AWS 系统,并发布了 Amazon Q Developer for VS Code 扩展版本 1.85.0。这包括从分发渠道中移除 1.84.0 版本,以确保没有更多客户可以安装它。虽然恶意代码无法执行,但它仍然存在于现有的 1.84.0 安装中。因此,所有 1.84.0 的安装都应停止使用,客户应更新到 1.85.0,包括任何分叉或衍生副本。


要更新您的 Amazon Q Developer for VS Code 扩展:


  1. 打开 Visual Studio Code

  2. 导航到扩展面板

  3. 找到 Amazon Q Developer

  4. 点击更新按钮


版本 1.84.0 的哈希值如下:


sha256: 47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464

参考链接

  • https://github.com/aws/aws-toolkit-vscode

  • CVE-2025-8217

  • GHSA-7g7f-ff96-5gcw

  • AWS-2025-016


如有任何安全问题或疑虑,请发送邮件至 aws-security@amazon.com。更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)


公众号二维码


办公AI智能小助手


公众号二维码


网络安全技术点滴分享


用户头像

qife122

关注

还未添加个人签名 2021-05-19 加入

还未添加个人简介

评论

发布
暂无评论
Amazon Q Developer扩展安全漏洞分析与修复指南_网络安全_qife122_InfoQ写作社区