發布日期:太平洋標準時間 2024 年 12 月 11 日下午 2 點
AWS 已知悉 SnakeYAML 軟體中的 CVE-2022-1471,該軟體包含在 1.21 版和 2.0 版本的 DynamoDB 本機版 jar 和 Docker 分佈中。如果加以利用,此問題可能會允許執行者使用 SnakeYaml 的 Constructor() 執行遠端程式碼執行,因為軟體不會限制在還原序列化期間可經過個體化的類型。AWS 尚未找到證據表明此問題已被利用,但客戶仍應採取相應的措施。2024 年 11 月 6 日,我們發布了此問題的修正。客戶應將 DynamoDB 本機版升級至最新版本:v1.25.1 或更高版本,或 2.5.3 或更高版本。
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。