发布日期:2025 年 4 月 21 日上午 08:00(太平洋夏令时)
说明
Amazon.IonDotnet(ion-dotnet)是一个实现 Ion 数据序列化格式的 .NET 库。
我们发现了 CVE-2025-3857,这是 Amazon.IonDotnet 中的一种无限循环条件。使用 RawBinaryReader 类通过此库读取二进制 Ion 数据时,Amazon.IonDotnet 在反序列化二进制格式时不会检查从底层流读取的字节数。如果 Ion 数据格式错误或被截断,则会触发无限循环条件,可能导致拒绝服务。
我们在版本 1.3.1 中发布了修复程序,建议用户升级以解决此问题。此外,确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
受影响的版本:<=1.3.0
解决方法:
这些补丁包含在 Amazon.IonDotnet 版本 1.3.1 中。建议您升级到最新版本,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
参考:
致谢:
我们要感谢 Symbotic 通过协调漏洞披露流程在此问题上的合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。