Veröffentlichungsdatum: 2024/12/11 14:00 PSTAWS ist sich des CVE-2022-1471 in SnakeYaml-Software bewusst, das in DynamoDB-Local-JAR- und Docker-Distributionen ab Version 1.21 und Version 2.0 enthalten ist. Wenn dies ausgenutzt würde, könnte dies einem Akteur ermöglichen, Remote-Code-Ausführung durchzuführen, indem SnakeYaml's Constructor() verwendet wird, da die Software keine Einschränkungen für die Typen vorsieht, die während der Deserialisierung instanziert werden können. AWS hat keine Beweise dafür gefunden, dass dieses Problem genutzt wurde, aber Kunden sollten dennoch Maßnahmen ergreifen. Am 6. November 2024 haben wir ein Fix für dieses Problem veröffentlicht. Kunden sollten DynamoDB lokal auf die neueste Version aktualisieren: v1.25.1 und höher, oder 2.5.3 und höher.Bitte senden Sie uns bei Sicherheitsfragen oder -bedenken eine E-Mail an [email protected].