Bulletin-ID: 2026-005-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 02.03.2026, 13.15 Uhr PST
 

Wir haben folgende CVEs identifiziert:

• CVE-2026-3336: PKCS7_verify Umgehung der Zertifikatskettenvalidierung in AWS-LC
• CVE-2026-3337: Timing bei Seitenkanälen bei der AES-CCM-Tag-Verifizierung in AWS-LC
• CVE-2026-3338: PKCS7_verify Umgehung der Signaturvalidierung in AWS-LC

Beschreibung:

AWS-LC ist eine Open-Source-Kryptografie-Bibliothek für allgemeine Zwecke. Wir haben 3 verschiedene Probleme identifiziert:

• CVE-2026-3336: PKCS7_verify Umgehung der Zertifikatskettenvalidierung in AWS-LC
  Eine falsche Zertifikatsvalidierung in PKCS7_verify() in AWS-LC ermöglicht es einem nicht authentifizierten Benutzer, die Überprüfung der Zertifikatskette zu umgehen, wenn PKCS7-Objekte mit mehreren Unterzeichnern verarbeitet werden, mit Ausnahme des letzten Unterzeichners.
  
  
• CVE-2026-3337: Timing bei Seitenkanälen bei der AES-CCM-Tag-Verifizierung in AWS-LC
  Eine beobachtbare Zeitdiskrepanz bei der AES-CCM-Entschlüsselung in AWS-LC ermöglicht es einem nicht authentifizierten Benutzer, möglicherweise die Gültigkeit des Authentifizierungs-Tags mithilfe einer Timing-Analyse zu bestimmen.
  
  
• CVE-2026-3338: PKCS7_verify Umgehung der Signaturvalidierung in AWS-LC
  Eine falsche Signaturvalidierung in PKCS7_verify() in AWS-LC ermöglicht es einem nicht authentifizierten Benutzer, die Signaturüberprüfung zu umgehen, wenn PKCS7-Objekte mit authentifizierten Attributen verarbeitet werden.

Betroffene Versionen:

• PKCS7_verify Umgehung der Zertifikatskettenvalidierung in AWS-LC >= v1.41.0, < v1.69.0
• PKCS7_verify Umgehung der Zertifikatskettenvalidierung in aws-lc-sys >= v0.24.0, < v0.38.0
• Timing bei Seitenkanälen bei der AES-CCM-Tag-Verifizierung in AWS-LC >= v1.21.0, < v1.69.0
• Timing bei Seitenkanälen bei der AES-CCM-Tag-Verifizierung in AWS-LC >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.2.0
• Timing bei Seitenkanälen bei der AES-CCM-Tag-Verifizierung in aws-lc-sys >= v0.14.0, < v0.38.0
• Timing bei Seitenkanälen bei der AES-CCM-Tag-Verifizierung in aws-lc-sys-fips >= v0.13.0, < v0.13.12
• PKCS7_verify Umgehung der Signaturvalidierung in AWS-LC >= v1.41.0, < v1.69.0
• PKCS7_verify Umgehung der Signaturvalidierung in aws-lc-sys >= v0.24.0, < v0.38.0
  

Behebung:

PKCS7_verify Umgehung der Zertifikatskettenvalidierung und PKCS7_verify Umgehung der Signaturvalidierung wurden in AWS-LC v1.69.0 und aws-lc-sys v0.38.0 behoben. Timing bei Seitenkanälen bei der AES-CCM-Tag-Verifizierung wurde in AWS-LC v1.69.0, AWS-LC-FIPS-3.2.0, aws-lc-sys v0.38.0 und aws-lc-sys-fips v0.13.12 behoben. PKCS7_verify Umgehung der Signaturvalidierung in AWS-LC wurde in AWS-LC v1.69.0 und aws-lc-sys v0.38.0 behoben.

Umgehungslösungen:

Es sind keine Umgehungslösungen für CVE-2026-3336 und CVE-2026-3338 bekannt.

Für CVE-2026-3337 können Kunden, die AES-CCM mit (M=4, L=2), (M=8, L=2) oder (M=16, L=2) verwenden, dieses Problem umgehen, indem sie AES-CCM über die EVP-AEAD-API mithilfe der Implementierungen EVP_aead_aes_128_ccm_bluetooth, EVP_aead_aes_128_ccm_bluetooth_8 und EVP_aead_aes_128_ccm_matter verwenden. Andernfalls gibt es keine bekannte Umgehungslösung. Wir empfehlen Kunden, auf die neuesten Hauptversionen von AWS-LC zu aktualisieren.

Referenzen:

• CVE-2026-3336
• CVE-2026-3337
• CVE-2026-3338
• GHSA-cfwj-9wp5-wqvp
  
• GHSA-frmv-5gcm-jwxh
• GHSA-jchq-39cv-q4wj
• GHSA-vw5v-4f2q-w9xf
• GHSA-65p9-r9h6-22vj
• GHSA-hfpc-8r3f-gw53

Danksagung:

Wir möchten dem AISLE-Forschungsteam für die Zusammenarbeit bei den Problemlösungen CVE-2026-3336 und CVE-2026-3337 im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.
 

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.