Date de publication : 11/12/2024 14h00 (PST)AWS est conscient d'une vulnérabilité (CVE-2022-1471) dans le logiciel SnakeYaml, inclus dans les distributions locales de DynamoDB (jar et Docker) à partir de la version 1.21 et de la version 2.0. Si cette faille était exploitée, elle pourrait permettre à un acteur de exécuter du code à distance en utilisant le constructeur de SnakeYaml, car le logiciel ne restreint pas les types qui peuvent être instanciés pendant la désérialisation. AWS n'a trouvé aucune preuve que cette faille ait été exploitée, mais les clients devraient néanmoins prendre des mesures. Le 6 novembre 2024, nous avons publié une correction pour cette faille. Les clients devraient mettre à jour DynamoDB local vers la dernière version : v1.25.1 et supérieure, ou 2.5.3 et supérieure.Veuillez envoyer un courriel à [email protected] pour toute question ou préoccupation relative à la sécurité.