公告 ID：AWS-2025-022
范围： Amazon
内容类型： 重要提示（需要注意）
发布日期：2025 年 10 月 9 日上午 11:00（太平洋夏令时）

描述：

Amazon.IonDotnet 是一个 Dotnet 语言库，用于读写 Amazon Ion 数据。

我们发现了 CVE-2025-11573，它描述了 Amazon.IonDotnet 库在低于 v1.3.2 的版本中存在的一个无限循环问题。威胁行为者可能会利用此问题，通过精心编写的文本输入造成拒绝服务。自 2025 年 8 月 20 日起，该库已被弃用，并将不再接收进一步更新。

受影响的版本：<1.3.2

解决方法：

此问题已在 Amazon.IonDotnet 版本 1.3.2 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

仅接受来自可信来源且使用受支持的 Ion 库编写的数据。

参考：

• CVE-2025-11573
• GHSA-q5r6-9qwq-g2wj

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。