当前位置: 首页 > news >正文

Amazon Q Developer扩展安全漏洞分析与修复指南

Amazon Q Developer for Visual Studio Code扩展安全更新(版本1.84)

范围: AWS
内容类型: 重要(需要关注)
发布日期: 2025年7月23日 下午6:00 PDT
更新日期: 2025年7月25日 下午6:00 PDT

描述

Amazon Q Developer for Visual Studio Code(VS Code)扩展是一款开发工具,将Amazon Q的AI驱动编码助手直接集成到VS Code集成开发环境(IDE)中。

AWS已发现并解决了Amazon Q Developer for VS Code扩展中的一个问题,该问题被分配为CVE-2025-8217。

在我们对AWS-2025-016的调查过程中,我们确定Amazon Q Developer for VS Code扩展在其CodeBuild配置中存在一个权限范围不当的GitHub令牌。攻击者利用该访问令牌将恶意代码提交到扩展的开源仓库中,这些代码被自动包含在一个发布版本中。发现此问题后,我们立即撤销并替换了凭据,从代码库中移除了恶意代码,随后发布了Amazon Q Developer for VS Code扩展版本1.85.0。

AWS安全部门已检查代码,并确定恶意代码随扩展分发,但由于语法错误未能成功执行。这阻止了恶意代码对任何服务或客户环境进行更改。

如果我们有更多信息需要分享,将更新此公告。

受影响版本

Amazon Q Developer for Visual Studio Code扩展(版本1.84.0)

解决方案

AWS已采取所有必要的缓解措施来保护AWS系统,并发布了Amazon Q Developer for VS Code扩展版本1.85.0。这包括从分发渠道中移除1.84.0版本,以确保没有更多客户可以安装它。虽然恶意代码无法执行,但它仍然存在于现有的1.84.0安装中。因此,所有1.84.0的安装都应停止使用,客户应更新到1.85.0,包括任何分叉或衍生副本。

要更新您的Amazon Q Developer for VS Code扩展:

  1. 打开Visual Studio Code
  2. 导航到扩展面板
  3. 找到Amazon Q Developer
  4. 点击更新按钮

版本1.84.0的哈希值如下:

sha256: 47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464

参考链接

  • https://github.com/aws/aws-toolkit-vscode
  • CVE-2025-8217
  • GHSA-7g7f-ff96-5gcw
  • AWS-2025-016

如有任何安全问题或疑虑,请发送邮件至aws-security@amazon.com。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=20541

相关文章:

  • 价值共生的语法革命:从“悬荡悟空”到“元人文构境”
  • 2025工业冷水机、风冷式、螺杆式、小型、水冷式、实验室等多类型冷水机品牌排行榜,帮企业选靠谱设备
  • FreeFileSync 本地文件同步及开机自启
  • 2025登车桥生产厂家最新推荐榜单:聚焦月台登车桥、装卸登车桥、卸货平台登车桥、10吨登车桥产品,精选五家实力企业助力采购
  • 2025 年最新留学中介机构 TOP3 权威推荐排行榜,深度解析留学机构服务特色与核心优势
  • 2025 年最新权威推荐!化妆品代工公司 TOP3 排行榜:OEM/ODM/ 一站式服务优质企业精选指南
  • 2025年中国超声波清洗机源头厂家最新权威推荐排行榜:聚焦核心优势精选超声波清洗机品牌助力企业选购
  • 2025 年传感器品牌最新权威推荐排行榜:聚焦磁致伸缩等多类型传感器,传感器厂家选购指南!
  • 2025 年杭州画室推荐:之江画室 —— 央清班十年口碑加持,设计学录取亮眼的专业美术培训之选
  • 从流程适配到合规校验:AI赋能智能工单5天交付全流程
  • Tabnine+Sourcery协同:企业级动态仪表盘4天落地的底层逻辑
  • MySQL数据误删或者误更新如何恢复25-9-29
  • 使用 logwatch 监控系统日志
  • 多智能体系统设计:5种编排模式解决复杂AI任务
  • 无刷电机关键参数的测量方法详解
  • 【SimpleFOC】区分BLDC霍尔安装间隔60还是120
  • 4 个支持在线编辑的PPT模板网站,不用下载软件!
  • [GenAI] 提示词工程
  • 关于第一次使用latex写文章
  • res := model.UserConsume{}与res := model.UserConsume{}区别
  • test2
  • test1
  • tset3
  • test4
  • 【Nordic随笔】
  • bazel架构学习
  • 数据类型-集合
  • ArrayPool.Shared解说
  • PS与可画基础介绍