公告 ID：2026-010-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 3 月 19 日下午 1:30（太平洋夏令时）
 

描述：

AWS-LC 是由 AWS 维护的一个通用加密库。我们发现编号为 CVE-2026-4428 的漏洞影响 X.509 证书验证。

在 AWS-LC 中，CRL（证书吊销列表）分发点匹配存在逻辑错误，当应用程序启用 CRL 检查并使用带有签发分发点（IDP）扩展的分区 CRL 时，该漏洞会导致已吊销的证书在证书验证过程中绕过吊销检查。

未启用 CRL 检查（X509_V_FLAG_CRL_CHECK）的应用程序不受影响。使用不含 IDP 扩展的完整（非分区）CRL 的应用程序同样不受影响。

受影响的版本：

• AWS-LC >= v1.24.0、< v1.71.0 版本中存在 CRL 分发点范围检查逻辑错误
• AWS-LC-FIPS >= AWS-LC-FIPS-3.0.0、< AWS-LC-FIPS-3.3.0 版本中存在 CRL 分发点范围检查逻辑错误
• aws-lc-sys >= v0.15.0、< v0.39.0 版本中存在 CRL 分发点范围检查逻辑错误
• aws-lc-fips-sys >= v0.13.0、< v0.13.13 版本中存在 CRL 分发点范围检查逻辑错误

解决方法：

这些问题已在 AWS-LC 版本 v1.71.0、AWS-LC-FIPS 版本 AWS-LC-FIPS-3.3.0、aws-lc-sys 版本 v0.39.0 和 aws-lc-fips-sys 版本 v0.13.13 中得到修复。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

如果应用程序未启用 CRL 检查（X509_V_FLAG_CRL_CHECK），则可以规避此问题。使用不含 IDP 扩展的完整（非分区）CRL 的应用程序同样不受影响。

参考：

• CVE-2026-4428
• GHSA-q87m-xr7j-vrww
• GHSA-9f94-5g5w-gf6r

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。