DynamoDB 로컬 관련 문제 - CVE-2022-1471

범위: AWS
콘텐츠 유형: 중요(주의 필요)
발행일: 2024/12월 11일 오후 2시 (태평양 표준시)

AWS는 버전 1.21 및 버전 2.0부터 DynamoDB 로컬 jar 및 Docker 배포에 포함된 SnakeYaml 소프트웨어의 CVE-2022-1471을 인지하고 있습니다. 악용될 경우 소프트웨어가 역직렬화 중에 인스턴스화할 수 있는 유형을 제한하지 않기 때문에 액터가 SnakeYaml의 Constructor()를 사용하여 원격 코드 실행을 수행하는 문제가 될 수 있습니다. AWS는 이 문제가 악용되었다는 증거를 발견하지 못했지만, 고객은 여전히 조치를 취해야 합니다. 2024년 11월 6일에 이 문제에 대한 수정 사항을 발표했습니다. 고객은 DynamoDB 로컬을 최신 버전인 v1.25.1 이상 또는 2.5.3 이상으로 업그레이드해야 합니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com 으로 이메일을 보내주십시오.