CVE-2025-3857 – Amazon.IonDotnet 中的无限循环条件

发布日期：太平洋夏令时间 2025/04/21 上午 08:00

描述

Amazon.IonDotnet（ion-dotnet）是一个实现 Ion 数据序列化格式的 .NET 库。

我们在 Amazon.iondotNet 中发现了 CVE-2025-3857，这是一种无限循环状态。使用 RawBinaryReader 类通过此库读取二进制 Ion 数据时，Amazon.IonDotnet 在反序列化二进制格式时不会检查从底层流读取的字节数。如果 Ion 数据格式错误或被截断，则会触发无限循环条件，可能导致拒绝服务。

我们在版本 1.3.1 中发布了修复程序，建议用户升级以解决此问题。此外，确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

受影响的版本：<=1.3.0

解决方法：

这些补丁包含在 Amazon.iondotNet 版本 1.3.1 中。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

参考：

• GHSA-gm2p-wf5c-w3pj
• CVE-2025-3857

致谢：

我们要感谢 Symbotic 通过协调漏洞披露流程就此问题进行合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。