Data de publicação: 21/04/2025, às 8h PDT
Descrição
O Amazon.IonDotnet (ion-dotnet) é uma biblioteca .NET com uma implementação do formato de serialização de dados Ion.
Identificamos o CVE-2025-3857, uma condição de loop infinito no Amazon.IonDotnet. Ao ler dados binários do Ion por meio dessa biblioteca usando a classe RawBinaryReader, o Amazon.IonDotnet não verifica o número de bytes lidos do fluxo subjacente enquanto desserializa o formato binário. Se os dados do Ion estiverem malformados ou truncados, isso acionará uma condição de loop infinito que pode resultar em uma negação de serviço.
Lançamos uma correção na versão 1.3.1 e recomendamos que os usuários atualizem para ela para resolver esse problema. Além disso, certifique-se de que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Versão afetada: <=1.3.0
Resolução:
Os patches estão incluídos na versão 1.3.1 do Amazon.IonDotnet. Recomendamos fazer upgrade para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Referências:
Agradecimento:
Gostaríamos de agradecer a Symbotic por colaborar nessa questão por meio do processo coordenado de divulgação de vulnerabilidades.
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.