게시일: 2025년 4월 21일 오전 8시(PDT)
설명
Amazon.IonDotnet(ion-dotnet)은 Ion 데이터를 직렬화 형식으로 처리하는 .NET 라이브러리입니다.
Amazon.IonDotnet에서 무한 루프 상태인 CVE-2025-3857 문제를 확인했습니다. 이 라이브러리에서 RawBinaryReader 클래스를 사용하여 바이너리 Ion 데이터를 읽을 때 Amazon.IonDotnet은 바이러니 형식을 역직렬화하는 동안에는 기본 스트림에서 읽은 바이트 수를 확인하지 않습니다. Ion 데이터의 형식이 잘못되거나 불완전한 경우 무한 루프 상태가 트리거되어 서비스 거부가 발생할 가능성이 있습니다.
이제 버전 1.3.1의 수정 사항이 릴리스되었으니, 업그레이드를 통해 이 문제를 해결하시기 바랍니다. 또한 모든 포크 코드 또는 파생 코드를 패치하여 새로운 수정 사항을 적용해야 합니다.
영향을 받는 버전: 1.3.0 이전 버전
해결 방법:
Amazon.IonDotnet 버전 1.3.1에 패치가 포함되어 있습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.
참고 사항:
도움을 주신 분:
조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Symbotic에 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.