Date de publication : 11/12/2024 à 14 h 00 PST
AWS a connaissance du CVE-2022-1471 dans le logiciel SnakeYaml, inclus dans les distributions JAR locales DynamoDB et Docker à partir des versions 1.21 et 2.0. S’il est exploité, ce problème pourrait permettre à un acteur d’exécuter du code à distance à l’aide du Constructor() de SnakeYaml, car le logiciel ne restreint pas les types qui peuvent être instanciés lors de la désérialisation. AWS n’a trouvé aucune preuve que ce problème ait été exploité, mais les clients doivent tout de même prendre des mesures. Le 6 novembre 2024, nous avons publié un correctif pour ce problème. Les clients doivent mettre à niveau DynamoDB Local vers la dernière version : v1.25.1 et versions ultérieures, ou 2.5.3 et versions ultérieures.
Envoyez un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.