DynamoDB ローカルに関する問題 – CVE-2022-1471

スコープ:AWS
コンテンツタイプ: 重要 (要注意)
公開日:2011年12月20日午後2時 (太平洋標準時)

AWS は、バージョン 1.21 およびバージョン 2.0 の DynamoDB ローカル jar および Docker ディストリビューションに含まれる SnakeYAML ソフトウェアの CVE-2022-1471 を認識しています。この問題を悪用した場合、逆シリアル化中にインスタンス化できるタイプがソフトウェアによって制限されないため、アクターは SnakeYAML の Constructor() を使用してリモートコードを実行できるようになります。この問題が悪用されたという証拠は見つかっていませんが、お客様は引き続き対策を講じる必要があります。AWS では 2024 年 11 月 6 日に、この問題の修正をリリースしました。お客様は、 DynamoDB local を最新バージョン (v1.25.1 以降、または 2.5.3 以降) にアップグレードする必要があります。