Pfaddurchquerungsproblem in der Deep Java Library – (CVE-2025-0851)
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 29.01.2020 13:30 Uhr PST
AWS identifizierte CVE-2025-0851, ein Pfaddurchquerungsproblem in ZipUtils.unzip und TarUtils.untar in der Deep Java Library (DJL) auf allen Plattformen, das es einem böswilligen Akteur ermöglicht, Dateien an beliebige Speicherorte zu schreiben. Bei einer Ausnutzung könnte ein Akteur SSH-Zugriff erhalten, indem er einen SSH-Schlüssel in die Datei authorized_keys einfügt oder HTML-Dateien hochlädt, um seitenübergreifende Skripting-Probleme auszunutzen. Wir können bestätigen, dass dieses Problem nicht ausgenutzt wurde. Ein Fix für dieses Problem wurde veröffentlicht und wir empfehlen den Benutzern von DJL, auf Version 0.31.1 oder höher zu aktualisieren.
Betroffene Versionen: 0.1.0 - 0.31.0
Behebung
Die Patches sind in DJL 0.31.1 enthalten.
Referenz
Bitte senden Sie bei Sicherheitsfragen oder Bedenken eine E-Mail an aws-security@amazon.com.