公開日: 2024 年 12 月 11 日午後 2 時 (太平洋標準時)

AWS は、バージョン 1.21 およびバージョン 2.0 の DynamoDB ローカル jar および Docker ディストリビューションに含まれる SnakeYAML ソフトウェアの CVE-2022-1471 を認識しています。この問題を悪用した場合、逆シリアル化中にインスタンス化できるタイプがソフトウェアによって制限されないため、アクターは SnakeYAML の Constructor() を使用してリモートコードを実行できるようになります。この問題が悪用されたという証拠は見つかっていませんが、お客様は引き続き対策を講じる必要があります。AWS では 2024 年 11 月 6 日に、この問題の修正をリリースしました。お客様は、DynamoDB ローカルを最新バージョン (v1.25.1 以降、または 2.5.3 以降) にアップグレードする必要があります。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。