Veröffentlichungsdatum: 11.12.2024 14:00 Uhr PST

AWS ist der Fehler CVE-2022-1471 in der SnakeYAML-Software bekannt. Diese Software ist in den jar- und Docker-Distributionen von DynamoDB local ab Version 1.21 und Version 2.0 enthalten. Akteure könnten diese Schwachstelle ausnutzen, um mithilfe des Constructor () von SnakeYAML Remote-Code auszuführen, da die Software die Typen, die während der Deserialisierung instanziiert werden können, nicht einschränkt. AWS hat bislang keine Hinweise darauf gefunden, dass dieses Problem ausgenutzt wurde. Dennoch sollten Kunden Vorsichtsmaßnahmen ergreifen. Am 6. November 2024 haben wir eine Lösung für dieses Problem veröffentlicht. Kunden sollten DynamoDB local auf die neueste Version aktualisieren: v1.25.1 und höher oder 2.5.3 und höher.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.