Bulletin-ID: 2026-032-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 14.05.2026, 11.45 Uhr PDT
 

Beschreibung:

coreMQTT ist eine ressourcenschonende MQTT-Client-Bibliothek für eingebettete Geräte. Wir haben CVE-2026-8686 identifiziert, ein Problem, bei dem eine fehlende Bereichsprüfung im Parser für die MQTT v5.0-Eigenschaften „SUBACK“ und „UNSUBACK“ in coreMQTT vor Version 5.0.1 es einem MQTT-Broker ermöglicht, durch das Senden eines manipulierten Pakets einen Denial-of-Service-Angriff (Absturz durch Heap-Lesezugriff außerhalb des zulässigen Bereichs) auszulösen.

Betroffene Versionen: v5.0.0

Lösung:

Dieses Problem wurde in coreMQTT Version 5.0.1 behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Problemumgehungen:

Für dieses Problem gibt es keine Problemumgehungen. Kunden sollten auf die feste Version aktualisieren.

Referenzen:

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

Danksagung:

Wir möchten Epsilon für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.