CVE-2025-3857 – Amazon.IonDotnet 中的無限循環條件

出版日期：2022 年 4 月 21 日（太平洋時間）上午 8 時

描述

Amazon.IonDotnet (ion-dotnet) 是一個 .NET 程式庫，實作了 Ion 資料序列化格式。

我們確定了 CVE-2025-3857，這是亞馬遜 .ionDotNet 中的無限循環條件。當使用 RawBinaryReader 類別透過此程式庫讀取二進位 Ion 資料時，Amazon.IonDotnet 不會在反序列化二進位格式時檢查從基礎串流讀取的位元組數。如果 Ion 資料格式錯誤或被截斷，則會觸發無限循環條件，從而可能導致拒絕服務。

我們在 1.3.1 版中發布了修正程序，並建議使用者升級以解決此問題。此外，請確保對任何分支或衍生程式碼進行修補，以包含新的修正。

受影響的版本：<= 1.3.0

解決方案：

這些補丁包含在亞馬遜 .ionDotNet 版本 1.3.1 中。建議您升級至最新版本，同時確保修補任何分支或衍生程式碼，以包含新的修正。

參考資料：

• GHSA-gm2p-wf5c-w3pj
• CVE-2025-3857

致謝：

我們要感謝 Symbotic 透過協調的漏洞揭露程序在此問題上合作。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。