Veröffentlichungsdatum: 29.01.2025, 1:30 Uhr PST

AWS identifizierte CVE-2025-0851, ein Problem mit Path Traversal in ZipUtils.unzip und TarUtils.untar in der Deep Java Library (DJL) auf allen Plattformen, das es einem böswilligen Akteur ermöglicht, Dateien an beliebige Speicherorte zu schreiben. Bei einer Ausnutzung könnte ein Akteur SSH-Zugriff erhalten, indem er einen SSH-Schlüssel in die Datei authorized_keys einfügt oder HTML-Dateien hochlädt, um seitenübergreifende Skripting-Probleme auszunutzen. Wir können bestätigen, dass dieses Problem nicht ausgenutzt wurde. Ein Fix für dieses Problem wurde veröffentlicht und wir empfehlen den Benutzern von DJL, auf Version 0.31.1 oder höher zu aktualisieren.

Betroffene Versionen: 0.1.0–0.31.0

Lösung

Die Patches sind in DJL 0.31.1 enthalten.

Referenz

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.