Deep Java Library におけるパストラバーサルの問題 – (CVE-2025-0851)
スコープ:AWS
コンテンツタイプ: 重要 (要注意)
公開日:1月29日2025日午後1時30分(太平洋標準時)
AWS は、すべてのプラットフォームの Deep Java Library (DJL) の ZipUtils.unzip と Tarutils.untar にあるパストラバーサルの問題である CVE-2025-0851 を特定しました。これにより、悪意のある攻撃者が任意の場所にファイルを書き込む可能性があります。この問題が悪用された場合、不正行為者は authorized_keys ファイルに SSH キーを挿入して SSH アクセスを取得することや、HTML ファイルをアップロードしてクロスサイトスクリプティングの問題を悪用することができます。当社では、この問題が悪用されていないことを確認しました。この問題の修正がリリースされました。 DJL をお使いの場合は、バージョン 0.31.1 以降にアップグレードすることをお勧めします。
影響を受けるバージョン:0.1.0-0.31.0
解決方法
パッチは DJL 0.31.1 に含まれています。
リファレンス
セキュリティに関する質問や懸念がある場合は、 aws-security@amazon.com までメールでお問い合わせください。