Veröffentlichung: 21.04.2025, 08:00 Uhr PDT
Beschreibung
Amazon.IonDotnet (ion-dotnet) ist eine .NET-Bibliothek mit einer Implementierung des Ion-Datenserialisierungsformats.
Wir haben CVE-2025-3857 identifiziert, eine Endlosschleifenbedingung in Amazon.IonDotnet. Beim Lesen binärer Ion-Daten über diese Bibliothek mithilfe der RawBinaryReader-Klasse überprüft Amazon.IonDotnet nicht die Anzahl der aus dem zugrunde liegenden Stream gelesenen Byte, während das Binärformat deserialisiert wird. Wenn die Ion-Daten falsch formatiert oder gekürzt sind, löst dies eine Endlosschleifenbedingung aus, die möglicherweise zu einer Dienstverweigerung führen kann.
Wir haben eine Fehlerbehebung in Version 1.3.1 veröffentlicht und empfehlen Benutzern ein Upgrade, um dieses Problem zu beheben. Stellen Sie zudem sicher, dass bei jedem abgezweigten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.
Betroffene Version: <=1.3.0
Lösung:
Die Patches sind in Amazon.IonDotnet Version 1.3.1 enthalten. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass jeder geforkte oder abgeleitete Code gepatcht wird, um die neuen Fehlerbehebungen zu integrieren.
Referenzen:
Danksagung:
Wir möchten Symbotic für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.