Date de publication : 29/01/2025 à 13 h 30 (heure du Pacifique)
AWS a identifié CVE-2025-0851, un problème de traversée de chemin dans ZipUtils.unzip et TarUtils.untar dans Deep Java Library (DJL) sur toutes les plateformes qui permet à une personne mal intentionnée d’écrire des fichiers à des emplacements arbitraires. Si ce problème est exploité, la personne peut obtenir un accès SSH en injectant une clé SSH dans le fichier authorized_keys, ou charger des fichiers HTML afin d’exploiter les problèmes de script inter-site. Nous pouvons confirmer que ce problème n’a pas été exploité. Un correctif pour ce problème a été publié et nous recommandons aux utilisateurs de DJL de passer à la version 0.31.1 ou à une version ultérieure.
Versions concernées : 0.1.0 – 0.31.0
Résolution
Les correctifs sont inclus dans DJL 0.31.1.
Référence
Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.