Greengrass 2.11.2 has CVE-2022-1471

On doing a scan of an ECR image, which includes the Greengrass Nucleus Software, it reports that both filepaths 'greengrass/v2/packages/artifacts-unarchived/aws.greengrass.Nucleus/2.11.2/aws.greengrass.nucleus/lib/Greengrass.jar' and 'opt/greengrassv2/lib/Greengrass.jar' is vulnerable to CVE-2022-1471, through org.yaml:snakeyaml.

Can you give any guidance as to how we can address this issue ? That is the most recent up-to-date version of the Greengrass nucleus.

トピック

モノのインターネット (IoT)セキュリティ、アイデンティティ、コンプライアンス

タグ

AWS IoT Greengrass セキュリティ、アイデンティティ、コンプライアンスデバイスセキュリティ

言語

English

scriobhneoir

質問済み 9ヶ月前278ビュー

1回答

新しい順
投票が多い順
コメントが多い順

Hello,

Greengrass is not affected by this CVE. This CVE concerns SnakeYaml’s Constructor() class does not restrict types which can be instantiated during deserialization. Greengrass does not use SnakeYaml directly. We import an old version of Jackson dataformat library, which uses SnakeYaml. Jackson is also not affected by this CVE. https://github.com/FasterXML/jackson-dataformats-text/issues/392

We will update Jackson library in our next Nucleus release.

yitingb

回答済み 9ヶ月前

エキスパート

MichaelDombrowski-AWS

レビュー済み 9ヶ月前

エキスパート

Gary Mclean

レビュー済み 9ヶ月前

関連するコンテンツ

CodeDeployにてThe deployment failed because a non-empty field was discovered on your Auto Scaling group that Code Deploy does not currently support copying. Unsupported fields:が表示されデプロイが進まない
承認された回答
rePost-User-6968076
質問済み 1年前
How to add a policy to the permission policy of IAM roles that allows only users verified through the Cognito user pool to download files during S3 download.如何追加一个策略，使得该策略可以在S3下载时，仅允许通过Cognito用户池验证的用户
承認された回答
Dgk
質問済み 4ヶ月前
Jetson NanoでのIoT Greengrassコアソフトのインストール後にサービスがactivating状態で動作しない
Toshiki Terai
質問済み 15時間前
How to know record counts of the tables in Amazon Keyspaces
haruka
質問済み 1ヶ月前
Amazon ECS クラスターでタスクの起動に失敗する場合の「Image is exist」エラーを解決する方法を教えてください。
AWS公式更新しました 2年前
Amazon ECR から Docker イメージを取り出す際に、Amazon ECS の「error pulling image configuration: error parsing HTTP 403 response body」を解決する方法を教えてください。
AWS公式更新しました 2年前
Docker コンテナを実行する AWS IoT Greengrass コンポーネントのデプロイの失敗をトラブルシューティングするにはどうすれば良いですか?
AWS公式更新しました 1年前
イメージビルドパイプラインが、Image Builder で「Step timed out while step is verifying the Systems Manager Agent availability on the target instance(s)」(ステップがターゲットインスタンスで Systems Manager Agent の可用性を検証している間に、ステップがタイムアウトしました) というエラーで失敗するのはなぜですか?
AWS公式更新しました 2年前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 3ヶ月前
AWS Application Migration Service (MGN) とエージェントレス vCenter クライアントを利用して VMware 仮想環境から AWS への移行を加速させる
エキスパート
Koichi Takeda
公開済み 14日前