CVE-2025-3857 – Amazon.IonDotnet の無限ループ状態

公開日:2025年4月21日午前8時 (太平洋夏時間)

説明

Amazon.IonDotnet (ion-dotnet) は、Ion データシリアル化形式を実装した .NET ライブラリです。

Amazon.ionDotnet の無限ループ状態である CVE-2025-3857 を特定しました。RawBinaryReader クラスを使用してこのライブラリからバイナリ Ion データを読み込むと、Amazon.IonDotnet は基になるストリームから読み込んだバイト数をチェックせず、バイナリ形式をデシリアライズします。Ion データの形式が正しくない、または不完全な場合、無限ループ状態がトリガーされ、サービス拒否が発生する可能性があります。

バージョン 1.3.1 で修正をリリースしました。この問題に対処するには、アップグレードすることをお勧めします。また、フォークしたコードや派生コードには、必ずパッチを適用して新しい修正を反映させてください。

影響を受けるバージョン:<=1.3.0

解決方法:

パッチは Amazon.iondotnet バージョン 1.3.1 に含まれています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

参考情報:

• GHSA-gm2p-wf5c-w3pj
• CVE-2025-3857

謝辞:

協調的な脆弱性開示プロセスを通じてこの問題に協力してくれたSymboticに感謝します。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。