Problème avec DynamoDB local – CVE-2022-1471

Champ d'application : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 11/12/2021 à 14h00 PST

AWS a connaissance du CVE-2022-1471 dans le logiciel SnakeYaml, inclus dans les distributions JAR locales DynamoDB et Docker à partir des versions 1.21 et 2.0. S’il est exploité, ce problème pourrait permettre à un acteur d’exécuter du code à distance à l’aide du Constructor() de SnakeYaml, car le logiciel ne restreint pas les types qui peuvent être instanciés lors de la désérialisation. AWS n’a trouvé aucune preuve que ce problème ait été exploité, mais les clients doivent tout de même prendre des mesures. Le 6 novembre 2024, nous avons publié un correctif pour ce problème. Les clients doivent mettre à niveau DynamoDB local vers la dernière version : v1.25.1 et versions ultérieures, ou 2.5.3 et versions ultérieures.

Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.