發布日期:2025 年 1 月 29 日 1:30 PM PST

AWS 已發現問題 CVE-2025-0851,這是 Deep Java Library (DJL) 中的 ZipUtils.unzip 和 TarUtils.untar 在所有平台上出現的路徑周遊問題,惡意人士因此可以將檔案寫入任意位置。若遭利用,惡意人士可以透過將 SSH 金鑰注入 authorized_keys 檔案來取得 SSH 存取權限,還可以上傳 HTML 檔案來利用跨網站指令碼問題。我們可以確認該問題尚未遭利用。該問題的修補程式已發布,我們建議使用者將 DJL 升級至 0.31.1 或更新版本。

受影響的版本:0.1.0-0.31.0

解決方案

這些修補程式包含在 DJL 0.31.1 中。

參考資料

如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com