Data da publicação: 11/12/2024 14:00 PST
A AWS está ciente do CVE-2022-1471 no software SnakeYaml, incluído no jar do DynamoDB local e nas distribuições Docker das versões 1.21 e 2.0. Se explorado, esse problema pode permitir que um usuário mal-intencionado execute código remotamente usando o Constructor() do SnakeYaml, pois o software não restringe os tipos que podem ser instanciados durante a desserialização. Embora a AWS não tenha encontrado evidências de que esse problema tenha sido explorado, os clientes ainda devem tomar as devidas medidas. Em 6 de novembro de 2024, lançamos uma correção para esse problema. Os clientes devem atualizar o DynamoDB local para a versão mais recente: v1.25.1 e superior, ou 2.5.3 e superior.
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.