Data di pubblicazione: 21/04/2025 08:00 PDT
Descrizione
Amazon.IonDotnet (ion-dotnet) è una libreria .NET con un'implementazione del formato di serializzazione dei dati Ion.
Abbiamo identificato CVE-2025-3857, una condizione di ciclo infinito in Amazon.IonDotnet. Quando si leggono dati binari Ion tramite questa libreria utilizzando la classe RawBinaryReader, Amazon.IonDotnet non verifica il numero di byte letti dal flusso sottostante durante la deserializzazione del formato binario. Se i dati Ion sono non conformi o troncati, si attiva una condizione di ciclo infinito che potrebbe potenzialmente comportare una negazione del servizio.
Abbiamo rilasciato una correzione nella versione 1.3.1 e consigliamo agli utenti di eseguire l'aggiornamento per risolvere questo problema. Inoltre, per incorporare le nuove correzioni, è necessario assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Versione interessata: <=1.3.0
Risoluzione:
Le patch sono incluse nella versione 1.3.1 di Amazon.IonDotnet. Per incorporare le nuove correzioni, ti consigliamo di eseguire l'aggiornamento alla versione più recente e di assicurarti che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Riferimenti:
Ringraziamento:
Desideriamo ringraziare Symbotic per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.
Per eventuali domande o dubbi sulla sicurezza, invia un'e-mail all'indirizzo aws-security@amazon.com.