게시 날짜: 2024년 12월 11일 오후 2시(태평양 표준시)
AWS는 버전 1.21 및 버전 2.0부터 DynamoDB 로컬 jar 및 Docker 배포에 포함된 SnakeYaml 소프트웨어의 CVE-2022-1471을 인지하고 있습니다. 악용될 경우 소프트웨어가 역직렬화 중에 인스턴스화할 수 있는 유형을 제한하지 않기 때문에 액터가 SnakeYaml의 Constructor()를 사용하여 원격 코드 실행을 수행하는 문제가 될 수 있습니다. AWS는 이 문제가 악용되었다는 증거를 발견하지 못했지만, 고객은 여전히 조치를 취해야 합니다. 2024년 11월 6일에 이 문제에 대한 수정 사항을 발표했습니다. 고객은 최신 버전인 v1.25.1 이상 또는 2.5.3 이상으로 DynamoDB 로컬을 업그레이드해야 합니다.
보안 관련 질문이나 우려 사항이 있는 경우 이메일(aws-security@amazon.com)을 통해 문의하세요.