Bulletin-ID: 2026-017-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Ihre Aufmerksamkeit)
Veröffentlichungsdatum: 20.04.2026, 09.15 Uhr PDT
 

Beschreibung:

Die AWS-Verschlüsselungs-SDK (ESDK) für Python ist eine library für clientseitige Verschlüsselung. Wir haben CVE-2026-6550 identifiziert, das ein Problem mit der Umgehung der Schlüsselrichtlinie über den gemeinsamen Schlüssel-Cache beschreibt.

Ein Downgrade des kryptografischen Algorithmus in der Caching-Schicht der AWS-Verschlüsselungs-SDK für Python vor Version 3.3.1 und vor Version 4.0.5 könnte es einem authentifizierten lokalen Angreifer ermöglichen, die Durchsetzung der Schlüsselrichtlinie über einen gemeinsamen Schlüssel-Cache zu umgehen, was dazu führt, dass Geheimtext in mehrere verschiedene Klartexte entschlüsselt werden kann.

Betroffene Versionen:

• Von 2.0 bis 2.5.1
• Von 3.0 bis 3.3.0
• Von 4.0 bis 4.0.4

Lösung:

Dieses Problem wurde in den ESDK-Versionen für Python 3.3.1 und 4.0.5 behoben. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass alle Forks oder abgeleiteten Codes gepatcht werden, um die neuen Korrekturen zu integrieren.

Problemumgehungen:

Wenn ein Kunde mehrere Instances des Python ESDK mit jeweils unterschiedlich konfigurierten Schlüsselrichtlinien betreiben muss, dürfen diese keinen gemeinsamen Schlüssel-Cache nutzen.

Referenzen:

• CVE-2026-6550
• GHSA-v638-38fc-rhfv

Danksagung:

Wir möchten uns bei 1seal.org für die Zusammenarbeit bei diesem Problem im Rahmen des koordinierten Verfahrens zur Offenlegung von Schwachstellen bedanken.

Bitte senden Sie eine E-Mail an aws-security@amazon.com, wenn Sie Fragen oder Bedenken bezüglich der Sicherheit haben.