Saltar al contenido principal

CVE-2026-4428: Problemas con AWS-LC: error lógico de verificación del alcance del punto de distribución de la CRL

ID del boletín: 2026-010-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 03/19/2026 13:30 h PDT
 

Descripción:

AWS-LC es una biblioteca criptográfica de uso general mantenida por AWS. Identificamos que la CVE-2026-4428 afectaba la verificación del certificado X.509.

Un error lógico en la coincidencia de puntos de distribución de la CRL (lista de revocación de certificados) en AWS-LC permite que un certificado revocado omita las comprobaciones de revocación durante la validación del certificado, cuando la aplicación habilita la verificación de la CRL y utiliza CRL particionadas con extensiones de puntos de distribución emisores (IDP).

Las aplicaciones que no habilitan la verificación de la CRL (X509_V_FLAG_CRL_CHECK) no se ven afectadas. Las aplicaciones que utilizan CRL completas (no particionadas) sin extensiones de IDP tampoco se ven afectadas.

Versiones afectadas:

  • Error lógico de verificación del alcance del punto de distribución de la CRL en AWS-LC >= v1.24.0, < v1.71.0
  • Error lógico de verificación del alcance del punto de distribución de la CRL en AWS-LC-FIPS >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.3.0
  • Error lógico de verificación del alcance del punto de distribución de la CRL en aws-lc-sys >= v0.15.0, < v0.39.0
  • Error lógico de verificación del alcance del punto de distribución de la CRL en aws-lc-fips-sys >= v0.13.0, < v0.13.13

Resolución:

Estos problemas se han solucionado en la versión v1.71.0 de AWS-LC, la versión AWS-LC-FIPS-3.3.0 de AWS-LC-FIPS, la versión v0.39.0 de aws-lc-sys y la versión v0.13.13 de aws-lc-fips-sys. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas revisiones.

Soluciones alternativas:

Las aplicaciones pueden solucionar este problema si no habilitan la comprobación de la CRL (X509_V_FLAG_CRL_CHECK). Las aplicaciones que utilizan CRL completas (no particionadas) sin extensiones de IDP tampoco se ven afectadas.

Referencias:


Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.