Überspringen zum Hauptinhalt

CVE-2026-5190 – Pufferüberlauf beim Streaming-Decoder-Stack von AWS C Event Stream

Bulletin-ID: 2026-011-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 31.03.2026, 10.15 Uhr PST

Beschreibung:

Die AWS-Common-Runtime-Bibliothek wird von mehreren AWS SDKs für die Kommunikation mit Event-Stream-Services verwendet (beispielsweise Kinesis, Transcribe). Wir haben CVE-2026-5190 identifiziert. In der Event-Stream-Decoder-Komponente von AWS Common Runtime vor Version 0.6.0 kann ein Drittanbieter, der einen Server betreibt, möglicherweise einen Speicherfehler verursachen, was zur Ausführung beliebigen Codes in einer Client-Anwendung führt, die manipulierte Event-Stream-Nachrichten verarbeitet.

Betroffene Versionen:

  • aws-c-event-stream < 0.6.0 und die folgenden übergeordneten Bibliotheken, die Event-Stream-Funktionen bereitstellen
  • aws-iot-device-sdk-cpp-v2 < 1.42.1
  • aws-iot-device-sdk-java-v2 < 1.30.1
  • aws-iot-device-sdk-python-v2 < 1.28.2
  • aws-iot-device-sdk-js-v2 < 1.25.1
  • aws-sdk-swift < 1.6.70
  • aws-sdk-cpp < 1.11.764

Lösung:

Dieses Problem wurde in aws-c-event-stream Version 0.6.0, aws-iot-device-sdk-cpp-v2 Version 1.42.1, aws-iot-device-sdk-java-v2 Version 1.30.1, aws-iot-device-sdk-python-v2 Version 1.28.2, aws-iot-device-sdk-js-v2 Version 1.25.1, aws-sdk-swift 1.6.70 und aws-sdk-cpp Version 1.11.764 behoben.

Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Problemumgehungen:

Das Problem kann nur auftreten, wenn der Client über das Event-Stream-Protokoll mit einem Drittanbieter kommuniziert, der einen Server betreibt. Um das Problem zu vermeiden, stellen Sie sicher, dass der Server, mit dem kommuniziert wird, vertrauenswürdig ist. AWS-Server würden dieses Problem nicht auslösen.

Referenz:

Wir möchten 1seal.org für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.