ID del boletín: 2026-005-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 02/03/2026 13:15 h PST
 

Identificamos las siguientes CVE:

• CVE-2026-3336: Elusión de validación de cadena de certificados PKCS7_verify en AWS-LC
• CVE-2026-3337: Canal lateral de temporización en la verificación de etiquetas AES-CCM en AWS-LC
• CVE-2026-3338: Elusión de validación de firma PKCS7_verify en AWS-LC

Descripción:

AWS-LC es una biblioteca criptográfica de uso general de código abierto. Identificamos tres problemas distintos:

• CVE-2026-3336: Elusión de validación de cadena de certificados PKCS7_verify en AWS-LC
  La validación incorrecta del certificado de PKCS7_verify() en AWS-LC permite a un usuario no autenticado eludir la verificación de cadenas de certificados al procesar objetos de PKCS7 con varios firmantes, excepto el firmante final.
  
  
• CVE-2026-3337: Canal lateral de temporización en la verificación de etiquetas AES-CCM en AWS-LC
  La discrepancia de temporización observable en el descifrado de AES-CCM en AWS-LC permite a un usuario no autenticado determinar potencialmente la validez de la etiqueta de autenticación mediante un análisis de la temporización.
  
  
• CVE-2026-3338: Elusión de validación de firma PKCS7_verify en AWS-LC
  La validación de firmas incorrecta de PKCS7_verify() en AWS-LC permite a un usuario no autenticado eludir la verificación de firmas al procesar objetos de PKCS7 con atributos autenticados.

Versiones afectadas:

• Elusión de validación de cadena de certificados PKCS7_verify en AWS-LC >= v1.41.0, < v1.69.0
• Elusión de validación de cadena de certificados PKCS7_verify en aws-lc-sys >= v0.24.0, < v0.38.0
• Canal lateral de temporización en la verificación de etiquetas AES-CCM en AWS-LC >= v1.21.0, < v1.69.0
• Canal lateral de temporización en la verificación de etiquetas AES-CCM en AWS-LC >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.2.0
• Canal lateral de temporización en la verificación de etiquetas AES-CCM en aws-lc-sys >= v0.14.0, < v0.38.0
• Canal lateral de temporización en la verificación de etiquetas AES-CCM en aws-lc-sys-fips >= v0.13.0, < v0.13.12
• Elusión de validación de firma PKCS7_verify en AWS-LC >= v1.41.0, < v1.69.0
• Elusión de validación de firma PKCS7_verify en aws-lc-sys >= v0.24.0, < v0.38.0
  

Resolución:

Elusión de validación de cadena de certificados PKCS7_verify y Elusión de validación de firma PKCS7_verify se abordaron en AWS-LC v1.69.0 y aws-lc-sys v0.38.0. Canal lateral de temporización en la verificación de etiquetas AES-CCM se abordó en AWS-LC v1.69.0, AWS-LC-FIPS-3.2.0, aws-lc-sys v0.38.0 y aws-lc-sys-fips v0.13.12. Elusión de validación de firma PKCS7_verify en AWS-LC se abordó en AWS-LC v1.69.0 y aws-lc-sys v0.38.0.

Soluciones alternativas:

No hay soluciones alternativas conocidas para CVE-2026-3336 y CVE-2026-3338.

En el caso de CVE-2026-3337, los clientes que usen AES-CCM con (M=4, L=2), (M=8, L=2) o (M=16, L=2) pueden solucionar este problema usando AES-CCM a través de la API EVP AEAD con estas implementaciones EVP_aead_aes_128_ccm_bluetooth, EVP_aead_aes_128_ccm_bluetooth_8 y EVP_aead_aes_128_ccm_matter respectivamente. Esta es la única solución alternativa conocida. Recomendamos a los clientes que actualicen a las versiones principales más recientes de AWS-LC.

Referencias:

• CVE-2026-3336
• CVE-2026-3337
• CVE-2026-3338
• GHSA-cfwj-9wp5-wqvp
  
• GHSA-frmv-5gcm-jwxh
• GHSA-jchq-39cv-q4wj
• GHSA-vw5v-4f2q-w9xf
• GHSA-65p9-r9h6-22vj
• GHSA-hfpc-8r3f-gw53

Reconocimiento:

Nos gustaría dar las gracias al equipo de investigación de AISLE por colaborar en el proceso coordinado de divulgación de vulnerabilidades de los problemas CVE-2026-3336 y CVE-2026-3337.
 

Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.