CVE-2025-3857 - Amazon.IonDotnet의 무한 루프 상태
발행일: 2025/04/21 오전 8시 (태평양 표준시)
설명
Amazon.IonDotnet(ion-dotnet)은 Ion 데이터를 직렬화 형식으로 처리하는 .NET 라이브러리입니다.
Amazon.iondotNet에서 무한 루프 상태인 CVE-2025-3857 상태를 확인했습니다. 이 라이브러리에서 RawBinaryReader 클래스를 사용하여 바이너리 Ion 데이터를 읽을 때 Amazon.IonDotnet은 바이러니 형식을 역직렬화하는 동안에는 기본 스트림에서 읽은 바이트 수를 확인하지 않습니다. Ion 데이터의 형식이 잘못되거나 불완전한 경우 무한 루프 상태가 트리거되어 서비스 거부가 발생할 가능성이 있습니다.
버전 1.3.1에서 수정 사항이 릴리스되었으며 이 문제를 해결하려면 사용자가 업그레이드할 것을 권장합니다. 또한 모든 포크 코드 또는 파생 코드를 패치하여 새로운 수정 사항을 적용해야 합니다.
영향을 받는 버전: <=1.3.0
해결 방법:
패치는 Amazon.ionDotnet 버전 1.3.1에 포함되어 있습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.
참고 사항:
도움을 주신 분:
조정된 취약점 공개 프로세스를 통해 이 문제에 대해 협력해 주신 Symbotic에 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 이메일(aws-security@amazon.com)을 통해 문의하세요.