公告 ID：2026-043-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 12 日上午 11:45（太平洋夏令时）

描述：

AWS Common Runtime aws-c-http 是一个 HTTP 客户端库，AWS SDK 使用该库来处理对 AWS 服务的 http 请求。我们发现了 CVE-2026-12043 漏洞，即不当处理 AWS Common Runtime aws-c-http 库中的 HPACK 动态表大小更新，可能会允许操作服务器的远程参与者通过有意设计的 HTTP/2 HEADERS 帧序列在连接的客户端应用程序上造成内存损坏，从而可能导致任意代码执行。

受影响的版本：aws-c-http >= 0.4.22 和 <= 0.10.15

以下 sdk 版本中存在漏洞：

• aws-sdk-cpp >= 1.11.41，<= 1.11.814
• aws-sdk-java-v2 >= 2.44.27，<= 2.44.14

解决方法：

此问题已在 aws-c-http 版本 0.11.0 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

如果可用，强制进行 HTTP/1.1 连接。

参考：

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。