Fecha de publicación: 21/04/2025 08:00 h PDT
Descripción
Amazon.IonDotnet (ion-dotnet) es una biblioteca .NET que ofrece una implementación del formato de serialización de datos Ion.
Hemos detectado CVE-2025-3857, una condición de bucle infinito en Amazon.IonDotnet. Al leer datos binarios en Ion a través de esta biblioteca usando la clase RawBinaryReader, Amazon.IonDotnet no comprueba el número de bytes leídos del flujo subyacente mientras deserializa el formato binario. Si los datos en Ion están mal formados o truncados, se desencadena una condición de bucle infinito que podría dar lugar a una denegación de servicio.
Hemos publicado una corrección en la versión 1.3.1 y recomendamos a los usuarios que actualicen para solucionar este problema. Además, asegúrese de que se actualice cualquier código derivado o bifurcado para incorporar las nuevas correcciones.
Versiones afectadas: <=1.3.0
Resolución:
Las correcciones están incorporadas en la versión 1.3.1 de Amazon.IonDotnet. Recomendamos actualizar a la versión más reciente y verificar que el código derivado o bifurcado incorpore las nuevas correcciones.
Referencias:
Reconocimiento:
Agradecemos a Symbotic por su colaboración en la resolución de este asunto a través del proceso coordinado de divulgación de vulnerabilidades.
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.