CVE-2025-3857 - Condizione di ciclo infinito in Amazon.IonDotnet
Data di pubblicazione: 2025/04/21 08:00 PDT
Descrizione
Amazon.IonDotnet (ion-dotnet) è una libreria .NET con un'implementazione del formato di serializzazione dei dati Ion.
Abbiamo identificato CVE-2025-3857, una condizione di ciclo infinito in Amazon.ionDotNet. Quando si leggono dati binari Ion tramite questa libreria utilizzando la classe RawBinaryReader, Amazon.IonDotnet non verifica il numero di byte letti dal flusso sottostante durante la deserializzazione del formato binario. Se i dati Ion sono non conformi o troncati, si attiva una condizione di ciclo infinito che potrebbe potenzialmente comportare una negazione del servizio.
Abbiamo rilasciato una correzione nella versione 1.3.1 e consigliamo agli utenti di eseguire l'aggiornamento per risolvere questo problema. Inoltre, per incorporare le nuove correzioni, è necessario assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Versione interessata: <=1.3.0
Risoluzione:
Le patch sono incluse nella versione 1.3.1 di Amazon.ionDotNet. Per incorporare le nuove correzioni, ti consigliamo di eseguire l'aggiornamento alla versione più recente e di assicurarti che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Riferimenti:
Ringraziamenti:
Ringraziamo Symbotic per aver collaborato su questo problema attraverso il processo coordinato di divulgazione delle vulnerabilità.
Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.