Date de publication : 21/04/2025, 8 h (heure du Pacifique)
Description
Amazon.IonDotnet (ion-dotnet) est une bibliothèque .NET implémentant le format de sérialisation de données Ion.
Nous avons identifié le problème CVE-2025-3857, une condition de boucle infinie dans Amazon.IonDotnet. Lors de la lecture de données Ion binaires via cette bibliothèque à l’aide de la classe RawBinaryReader, Amazon.IonDotnet ne vérifie pas le nombre d’octets lus dans le flux sous-jacent lors de la désérialisation du format binaire. Si les données Ion sont mal formées ou tronquées, cela déclenche une condition de boucle infinie qui pourrait entraîner un déni de service.
Nous avons publié un correctif dans la version 1.3.1 et recommandons aux utilisateurs de procéder à une mise à niveau pour résoudre ce problème. En outre, veillez à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.
Versions concernées : version 1.3.0 et versions antérieures
Résolution :
Les correctifs sont inclus dans la version 1.3.1 d’Amazon.IonDotnet. Nous recommandons de mettre à jour vers la dernière version et de veiller à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.
Références :
Remerciements :
Nous tenons à remercier Symbotic pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.
Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.