Problème de traversée de chemin dans Deep Java Library (CVE-2025-0851)
Champ d'application : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 29/01/2025 à 13h30 PST
AWS a identifié CVE-2025-0851, un problème de traversée de chemin dans Ziputils.unzip et TarUtils.untar dans Deep Java Library (DJL) sur toutes les plateformes qui permet à un acteur malveillant d'écrire des fichiers à des emplacements arbitraires. Si ce problème est exploité, la personne peut obtenir un accès SSH en injectant une clé SSH dans le fichier authorized_keys, ou charger des fichiers HTML afin d’exploiter les problèmes de script inter-site. Nous pouvons confirmer que ce problème n’a pas été exploité. Un correctif pour ce problème a été publié et nous recommandons aux utilisateurs de DJL de passer à la version 0.31.1 ou ultérieure.
Versions concernées : 0.1.0 - 0.31.0
Résolution
Les correctifs sont inclus dans DJL 0.31.1.
Référence
Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.