DynamoDB Local 的问题 – CVE-2022-1471

范围：AWS
内容类型：重要提示（需要注意）
发布日期：太平洋标准时间 2024/12/11 下午 2:00

AWS 注意到 SnakeYaml 软件中出现 CVE-2022-1471 问题，该软件包含在 1.21 版和 2.0 版的 DynamoDB Local jar 和 Docker 发行版中。该问题如果被利用，相关人员就可以使用 SnakeYaml 的 Constructor() 远程执行代码，因为该软件不限制在反序列化期间可以实例化的类型。AWS 没有发现任何证据表明该问题已被利用，但是，客户仍应采取措施。2024 年 11 月 6 日，我们发布了针对该问题的修复程序。客户应将本地的 DynamoDB 升级到最新版本：v1.25.1 及更高版本，或 2.5.3 及更高版本。