DynamoDB 本機版的問題 – CVE-2022-1471

範圍：AWS
內容類型：重要 (需要注意)
出版日期：2022 年 4 月 12 日 11 日太平洋標準時間下午二時

AWS 已知悉 SnakeYAML 軟體中的 CVE-2022-1471，該軟體包含在 1.21 版和 2.0 版本的 DynamoDB 本機版 jar 和 Docker 分佈中。如果加以利用，此問題可能會允許執行者使用 SnakeYaml 的 Constructor() 執行遠端程式碼執行，因為軟體不會限制在還原序列化期間可經過個體化的類型。AWS 尚未找到證據表明此問題已被利用，但客戶仍應採取相應的措施。2024 年 11 月 6 日，我們發布了此問題的修正。客戶應將 DynamoDB 本機升級至最新版本：v1.25.1 或更高版本，或 2.5.3 或更高版本。