速報 ID: AWS-2025-022
対象範囲: Amazon
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 10 月 9 日 午前 11 時 (PDT)

説明:

Amazon.IonDotnet は、Amazon Ion データの読み取りと書き込みに使用される Dotnet 言語用のライブラリです。

AWS は、CVE-2025-11573 を特定しました。これは、v1.3.2 未満の Amazon.IonDotnet ライブラリにおける無限ループ問題を説明するもので、脅威アクターが特別に細工されたテキスト入力を通じてサービス拒否を発生させることを可能にするおそれがあります。このライブラリは 2025 年 8 月 20 日をもって非推奨になっており、今後更新される予定はありません。

影響を受けるバージョン: 1.3.2 未満

解決方法:

この問題は、Amazon.iondotNet バージョン 1.3.2 で解決されています。最新バージョンにアップグレードし、新しい修正を組み込むパッチがフォークされたコードや派生コードに適用されているのを確認することが推奨されます。

回避策:

サポートされる Ion ライブラリを使用して記述されている、信頼できるソースからのデータのみを受け入れてください。

参考情報:

• CVE-2025-11573
• GHSA-q5r6-9qwq-g2wj

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。