CVE-2025-3857: condición de bucle infinito en Amazon.IonDotnet

Fecha de publicación: 21/04/2021 08:00 a.m. PDT

Descripción

Amazon.IonDotnet (ion-dotnet) es una biblioteca .NET que ofrece una implementación del formato de serialización de datos Ion.

Identificamos el CVE-2025-3857, una condición de bucle infinito en Amazon.ionDotNet. Al leer datos binarios en Ion a través de esta biblioteca usando la clase RawBinaryReader, Amazon.IonDotnet no comprueba el número de bytes leídos del flujo subyacente mientras deserializa el formato binario. Si los datos en Ion están mal formados o truncados, se desencadena una condición de bucle infinito que podría dar lugar a una denegación de servicio.

Publicamos una solución en la versión 1.3.1 y recomendamos a los usuarios que actualicen para solucionar este problema. Además, asegúrese de que cualquier código bifurcado o derivado esté revisado de manera que incluya las nuevas correcciones.

Versión afectada: <=1.3.0

Resolución:

Los parches se incluyen en la versión 1.3.1 de Amazon.ionDotNet. Recomendamos actualizar a la versión más reciente y verificar que el código derivado o bifurcado incorpore las nuevas revisiones.

Referencias:

• GHSA-gm2p-wf5c-w3pj
• CVE-2025-3857

Reconocimiento:

Nos gustaría dar las gracias a Symbotic por colaborar en este tema a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.