공지 ID: AWS-2025-027
범위: Amazon
콘텐츠 유형: 중요(주의 필요)
게시일: 2025년 11월 7일 오전 10시 15분(PDT)

설명:

Amazon의 Ion-C는 Amazon Ion 데이터를 읽고 쓰는 데 사용되는 C 언어용 라이브러리입니다.

Ion-C의 v1.1.4 미만 버전에서 초기화되지 않은 스택 읽기 문제를 설명하는 CVE-2025-12829 문제를 확인했습니다. 이 문제를 통해 공격자가 특정 방식으로 데이터를 조작해 Ion 텍스트로 직렬화하면 메모리에 남아 있는 민감한 데이터가 UTF-8 이스케이프 시퀀스를 통해 노출될 수 있습니다.

영향을 받는 버전: v1.1.4 미만 버전

해결 방법:

이 문제는 Ion-C 버전 1.1.4에서 해결되었습니다. 지원되는 Ion 라이브러리를 사용하여 작성된 신뢰할 수 있는 출처의 데이터만 허용하는 것이 좋습니다.

참고 사항:

• CVE-2025-12829
• GHSA-7mgf-6x73-5h7r

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.