發布日期:2025 年 4 月 21 日上午 08:00 (太平洋夏令時間)
描述
Amazon.IonDotnet (ion-dotnet) 是一個 .NET 程式庫,實作了 Ion 資料序列化格式。
我們發現 Amazon.IonDotnet 程式庫中存在 CVE-2025-3857 漏洞,這是一種無限循環條件。當使用 RawBinaryReader 類別透過此程式庫讀取二進位 Ion 資料時,Amazon.IonDotnet 不會在反序列化二進位格式時檢查從基礎串流讀取的位元組數。如果 Ion 資料格式錯誤或被截斷,則會觸發無限循環條件,從而可能導致拒絕服務。
我們在版本 1.3.1中發布了修正,建議使用者升級至該版本以解決此問題。此外,請確保對任何分支或衍生程式碼進行修補以包含新的修正。
受影響的版本:早於 1.3.0
解決方案:
修補程式包含在 Amazon.IonDotnet 版本 1.3.1 中。建議您升級至最新版本,同時確保對任何分支或衍生程式碼進行修補以包含新的修正。
參考資料:
致謝:
我們誠摯感謝 Symbotic 透過協調的漏洞披露程序,與我們協作解決此問題。
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。