Überspringen zum Hauptinhalt

CVE-2026-4428: Probleme mit AWS-LC – Logikfehler beim Umfangsprüfung von CRL-Verteilstellen

Bulletin-ID: 2026-010-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 19.03.2026, 13.30 Uhr PDT
 

Beschreibung:

AWS-LC ist eine kryptografische Bibliothek für allgemeine Zwecke, die von AWS verwaltet wird. Wir haben festgestellt, dass CVE-2026-4428 die X.509-Zertifikatsüberprüfung beeinträchtigt.

Ein Logikfehler beim Abgleich von CRL (Certificate Revocation List)-Verteilstellen in AWS-LC ermöglicht es einem widerrufenen Zertifikat, Prüfungen auf Widerruf während der Zertifikatsvalidierung zu umgehen, wenn die Anwendung die CRL-Prüfung aktiviert und partitionierte CRLs mit IDP (Issuing Distribution Point)-Erweiterungen verwendet.

Anwendungen, die die CRL-Prüfung nicht aktivieren (X509_V_FLAG_CRL_CHECK), sind nicht betroffen. Anwendungen, die vollständige (nicht partitionierte) CRLs ohne IDP-Erweiterungen verwenden, sind ebenfalls nicht betroffen.

Betroffene Versionen:

  • Logikfehler bei der Umfangsprüfung von CRL-Verteilstellen in AWS-LC >= v1.24.0, < v1.71.0
  • Logikfehler bei der Umfangsprüfung von CRL-Verteilstellen in AWS-LC-FIPS >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.3.0
  • Logikfehler bei der Umfangsprüfung von CRL-Verteilstellen in aws-lc-sys >= v0.15.0, < v0.39.0
  • Logikfehler bei der Umfangsprüfung von CRL-Verteilstellen in aws-lc-fips-sys >= v0.13.0, < v0.13.13

Lösung:

Diese Probleme wurden in AWS-LC Version v1.71.0, AWS-LC-FIPS Version AWS-LC-FIPS-3.3.0, aws-lc-sys Version v0.39.0 und aws-lc-fips-sys Version v0.13.13 behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Problemumgehungen:

Anwendungen können dieses Problem umgehen, wenn sie die CRL-Prüfung nicht aktivieren (X509_V_FLAG_CRL_CHECK). Anwendungen, die vollständige (nicht partitionierte) CRLs ohne IDP-Erweiterungen verwenden, sind ebenfalls nicht betroffen.

Referenzen:


Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.