发布日期:太平洋标准时间 2024 年 12 月 11 日下午 2:00
AWS 注意到 SnakeYaml 软件中出现 CVE-2022-1471 问题,该软件包含在 1.21 版和 2.0 版的 DynamoDB Local jar 和 Docker 发行版中。该问题如果被利用,相关人员就可以使用 SnakeYaml 的 Constructor() 远程执行代码,因为该软件不限制在反序列化期间可以实例化的类型。AWS 没有发现任何证据表明该问题已被利用,但是,客户仍应采取措施。2024 年 11 月 6 日,我们发布了针对该问题的修复程序。客户应将 DynamoDB Local 升级到最新版本:v1.25.1 及更高版本,或 2.5.3 及更高版本。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。