Problema di path traversal nella Deep Java Library - (CVE-2025-0851)
Ambito: AWS
Tipo di contenuto: Importante (richiede attenzione)
Data di pubblicazione: 29/01/2020 13:30 PST
AWS ha identificato CVE-2025-0851, un problema di attraversamento del percorso in ZipUtils.unzip e TarUtils.untar nella Deep Java Library (DJL) su tutte le piattaforme che consente a un malintenzionato di scrivere file in posizioni arbitrarie. Se sfruttata, un malintenzionato potrebbe ottenere l'accesso SSH inserendo una chiave SSH nel file authorized_keys o caricando dei file HTML per sfruttare i problemi di script tra i siti. Confermiamo che questo problema non è stato sfruttato. È stata rilasciata una correzione per questo problema e consigliamo agli utenti di DJL di eseguire l'aggiornamento alla versione 0.31.1 o successiva.
Versioni interessate: 0.1.0 - 0.31.0
Risoluzione
Le patch sono incluse in DJL 0.31.1.
Riferimento
Inviare un'e-mail a aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.