Problem mit DynamoDB lokal – CVE-2022-1471

Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 11.12.2020 14:00 Uhr PST

AWS ist der Fehler CVE-2022-1471 in der SnakeYAML-Software bekannt. Diese Software ist in den jar- und Docker-Distributionen von DynamoDB local ab Version 1.21 und Version 2.0 enthalten. Akteure könnten diese Schwachstelle ausnutzen, um mithilfe des Constructor () von SnakeYAML Remote-Code auszuführen, da die Software die Typen, die während der Deserialisierung instanziiert werden können, nicht einschränkt. AWS hat bislang keine Hinweise darauf gefunden, dass dieses Problem ausgenutzt wurde. Dennoch sollten Kunden Vorsichtsmaßnahmen ergreifen. Am 6. November 2024 haben wir eine Lösung für dieses Problem veröffentlicht. Kunden sollten DynamoDB Local auf die neueste Version aktualisieren: v1.25.1 und höher oder 2.5.3 und höher.

Bitte senden Sie bei Sicherheitsfragen oder Bedenken eine E-Mail an aws-security@amazon.com.