Deep Java Library의 경로 탐색 문제 - (CVE-2025-0851)

범위: AWS
콘텐츠 유형: 중요(주의 필요)
발행일: 2025/01/29 오후 1시 30분 (태평양 표준시)

AWS는 모든 플랫폼의 딥 자바 라이브러리 (DJL) 에서 ZipUtils.unzip 및 Tarutils.Untar에서 발생한 경로 탐색 문제로, 악의적인 공격자가 임의의 위치에 파일을 쓸 수 있는 CVE-2025-0851 문제를 확인했습니다. 악의적인 행위자가 이 문제를 악용하면 authorized_keys 파일에 SSH 키를 삽입하여 SSH 액세스 권한을 얻거나 HTML 파일을 업로드하여 사이트 간 스크립팅 문제를 이용할 수 있습니다. 이 문제가 악용된 사례는 아직 없는 것으로 확인되었습니다. 이 문제에 대한 수정 사항이 릴리스되었으므로 DJL 사용자는 버전 0.31.1 이상으로 업그레이드하는 것이 좋습니다.

영향을 받는 버전: 0.1.0 - 0.31.0

​해결 방법

관련 패치는 DJL 0.31.1에 포함되어 있습니다.

참조

• CVE-2025-0851
• GHSA-6h2x-4gjf-jc5w

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com 으로 이메일을 보내주십시오.