Probleme mit Key Commitment bei S3 Encryption Clients
Sicherheitsbericht-ID: AWS-2025-032
Gültigkeitsbereich:
AWS
Inhaltstyp:
Wichtig (Aktion erforderlich)
Datum der Veröffentlichung: 17.12.2025, 12:15 Uhr PST
Wir haben von folgenden CVEs Kenntnis erlangt:
- CVE-2025-14763 – Probleme mit Key Commitment bei S3 Encryption Client in Java
- CVE-2025-14764 – Probleme mit Key Commitment bei S3 Encryption Client in Go
- CVE-2025-14759 – Probleme mit Key Commitment bei S3 Encryption Client in .NET
- CVE-2025-14760 – Probleme mit Key Commitment bei S3 Encryption Client in C++ (Bestandteil von AWS SDK für C++)
- CVE-2025-14761 – Probleme mit Key Commitment bei S3 Encryption Client in PHP (Bestandteil von AWS SDK für PHP)
- CVE-2025-14762 – Probleme mit Key Commitment bei S3 Encryption Client in Ruby (Bestandteil von AWS SDK für Ruby)
Schilderung:
Bei den S3 Encryption Clients für Java, Go, .NET, C++, PHP und Ruby handelt es sich um Open-Source-Bibliotheken für die clientseitige Verschlüsselung. Anhand dieser Bibliotheken werden das Schreiben und das Lesen verschlüsselter Datensätze aus bzw. in S3 erleichtert.
Wenn der verschlüsselte Datenschlüssel (EDK, Encrypted Data Key) in einer „Anweisungsdatei“ anstatt im Metadatensatz von S3 gespeichert wird, ist der EDK der Gefahr eines Angriffs „Invisible Salamanders“ ausgesetzt. Durch einen solchen Angriff kann der EDK durch einen neuen Schlüssel ersetzt werden.
Betroffene Versionen:
- S3 Encryption Client Java: <= 3.5.0
- S3 Encryption Client Go: <= 3.1.0
- S3 Encryption Client .NET: <= 3.1
- AWS SDK für C++: <= 1.11.711
- AWS SDK für PHP: <= 3.367.0
- AWS SDK für Ruby: <= 1.207.0
Behebung:
Um dieses Problem zu lösen, führen wir das Konzept des „Key Commitment“ in S3EC ein. Bei diesem Konzept wird der EDK kryptografisch an den Geheimtext gebunden. Zur Aufrechterhaltung der Kompatibilität von Nachrichten „in Bearbeitung“ veröffentlichen wir das Update in zwei Versionen: eine codekompatible Unterversion, die Nachrichten mit Key Commitment lesen, jedoch nicht schreiben kann, und eine neue Hauptversion, die Nachrichten mit Key Commitment sowohl lesen als auch schreiben kann. Wir empfehlen Kunden ein Upgrade auf die neueste Hauptversion.
Problemumgehungen:
Es sind keine Problemumgehungen bekannt.
Referenzen:
- https://eprint.iacr.org/2019/016
- GHSA-x44p-gvrj-pj2r
- GHSA-3g75-q268-r9r6
- GHSA-4v42-65r3-3gjx
- GHSA-792f-r46x-r7gm
- GHSA-x8cp-jf6f-r4xh
- GHSA-2xgq-q749-89fq
Bei Fragen oder Bedenken zum Thema „Sicherheit“ wenden Sie sich bitte per E-Mail an aws-security@amazon.com.