게시일: 2025년 1월 29일 오후 1시 30분(PST)

AWS는 모든 플랫폼의 Deep Java Library(DJL)에서 ZipUtils.unzip 및 TarUtils.untar에서 발생하는 경로 탐색 문제인 CVE-2025-0851을 확인했습니다. 이 문제로 인해 악의적인 공격자가 임의의 위치에 파일을 쓸 수 있습니다. 악의적인 행위자가 이 문제를 악용하면 authorized_keys 파일에 SSH 키를 삽입하여 SSH 액세스 권한을 얻거나 HTML 파일을 업로드하여 사이트 간 스크립팅 문제를 이용할 수 있습니다. 이 문제가 악용된 사례는 아직 없는 것으로 확인되었습니다. 이 문제에 대한 수정 사항이 릴리스되었으므로, DJL 사용자는 버전 0.31.1 이상으로 업그레이드하는 것이 좋습니다.

영향을 받는 버전: 0.1.0~0.31.0

해결 방법

관련 패치는 DJL 0.31.1에 포함되어 있습니다.

참조

보안 관련 질문이나 우려 사항이 있는 경우 이메일(aws-security@amazon.com)을 통해 문의하세요.