発行日: 2025 年 4 月 21 日 午前 8 時 PDT
説明
Amazon.IonDotnet (ion-dotnet) は、Ion データシリアル化形式を実装した .NET ライブラリです。
当社では、Amazon.IonDotnet の無限ループ状態 CVE-2025-3857 を特定しました。RawBinaryReader クラスを使用してこのライブラリからバイナリ Ion データを読み込むと、Amazon.IonDotnet は基になるストリームから読み込んだバイト数をチェックせず、バイナリ形式をデシリアライズします。Ion データの形式が正しくない、または不完全な場合、無限ループ状態がトリガーされ、サービス拒否が発生する可能性があります。
バージョン 1.3.1 で修正をリリースしました。この問題に対処するため、アップグレードすることをお推めします。また、フォークしたコードや派生コードには、必ずパッチを適用して新しい修正を反映させてください。
影響を受けるバージョン: 1.3.0 以前
解決方法:
パッチは Amazon.IonDotnet バージョン 1.3.1 に含まれています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
参考情報:
謝辞:
協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Symbotic に感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。