发布日期:2025 年 1 月 29 日下午 1:30(太平洋标准时间)
AWS 发现了 CVE-2025-0851,这是所有平台上的 Deep Java Library(DJL)中的 ZipUtils.unzip 和 TarUtils.untar 中的一个路径遍历问题,允许不法分子将文件写入任意位置。如果被利用,不法分子可以通过向 authorized_keys 文件注入 SSH 密钥来获得 SSH 访问权限,或者上传 HTML 文件来利用跨站脚本问题。我们可以确认此问题没有被利用。此问题的修复程序已经发布,我们建议 DJL 用户升级到 0.31.1 或更高版本。
受影响的版本:0.1.0-0.31.0
解决方案
这些补丁包含在 DJL 0.31.1 中。
参考
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。