速報 ID: AWS-2025-027
対象範囲: Amazon
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 11 月 7 日 午前 10 時 15 分 (PDT)

説明:

Amazon の Ion-C は、Amazon Ion データの読み取りと書き込みに使用される C 言語用のライブラリです。

AWS は、CVE-2025-12829 を特定しました。これは、v1.1.4 未満の Ion-C バージョンにおける初期化されていないスタックの読み取り問題を説明するもので、メモリ内の機密データが UTF-8 エスケープシーケンスを通じて漏洩されるような形で脅威アクターがデータを作成し、それを Ion テキストにシリアル化することを可能にするおそれがあります。

影響を受けるバージョン: v1.1.4 未満

解決方法:

この問題は Ion-C バージョン 1.1.4 で解決されています。サポートされる Ion ライブラリを使用して記述されている、信頼できるソースからのデータのみを受け入れることをお勧めします。

参考情報:

• CVE-2025-12829
• GHSA-7mgf-6x73-5h7r

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。