発行日: 2025 年 1 月 29 日 午後 1 時 30 分 (PST)
AWS は、すべてのプラットフォーム上の Deep Java Library (DJL) において、不正行為者が任意の場所にファイルを書き込むことができる ZipUtils.unzip および TarUtils.untar におけるパストラバーサルの問題 CVE-2025-0851 を特定しました。この問題が悪用された場合、不正行為者は authorized_keys ファイルに SSH キーを挿入して SSH アクセスを取得することや、HTML ファイルをアップロードしてクロスサイトスクリプティングの問題を悪用することができます。当社では、この問題が悪用されていないことを確認しました。この問題の修正がリリースされています。DJL のユーザーにはバージョン 0.31.1 以降へのアップグレードをお勧めします。
影響を受けるバージョン: 0.1.0~0.31.0
解決方法
パッチは DJL 0.31.1 に含まれています。
リファレンス
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。