CVE-2024-21634

Amazon Ion is a Java implementation of the Ion data notation. Prior to version 1.10.5, a potential denial-of-service issue exists in `ion-java` for applications that use `ion-java` to deserialize Ion text encoded data, or deserialize Ion text or binary encoded data into the `IonValue` model and then invoke certain `IonValue` methods on that in-memory representation. An actor could craft Ion data that, when loaded by the affected application and/or processed using the `IonValue` model, results in a `StackOverflowError` originating from the `ion-java` library. The patch is included in `ion-java` 1.10.5. As a workaround, do not load data which originated from an untrusted source or that could have been tampered with.

CVSS v3 7.5 HIGH

7.5^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:amazon:ion:*:*:*:*:*:*:*:*

History

10 Jan 2024, 16:38

Type	Values Removed	Values Added
References	~~() https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6 -~~	() https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6 - Vendor Advisory
Summary		(es) Amazon Ion es una implementación Java de la notación de datos de Ion. Antes de la versión 1.10.5, existe un posible problema de denegación de servicio en `ion-java` para aplicaciones que usan `ion-java` para deserializar datos codificados de texto Ion, o deserializar texto Ion o datos codificados binarios en `IonValue `modelo y luego invocar ciertos métodos `IonValue` en esa representación en memoria. Un actor podría crear datos de Ion que, cuando los carga la aplicación afectada y/o los procesa usando el modelo "IonValue", dan como resultado un "StackOverflowError" que se origina en la librería "ion-java". El parche está incluido en `ion-java` 1.10.5. Como workaround, no cargue datos que se hayan originado en una fuente que no sea de confianza o que puedan haber sido manipulados.
First Time		Amazon Amazon ion
CPE		cpe:2.3:a:amazon:ion::::::::

03 Jan 2024, 23:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-01-03 23:15

Updated : 2024-01-10 16:38

NVD link : CVE-2024-21634

Mitre link : CVE-2024-21634

CVE.ORG link : CVE-2024-21634

JSON object : View

Products Affected

amazon

CWE

CWE-770

Allocation of Resources Without Limits or Throttling

7.5 /10