ID del boletín: 2026-042-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 10/06/2026 11:15 h PDT

Descripción:

s2n-quic es una implementación en Rust del protocolo QUIC. Identificamos la CVE-2026-10740, una vulnerabilidad de asignación de memoria sin límites en el reensamblador de tramas CRYPTO de s2n-quic en versiones anteriores a la 1.82.0. Un usuario no autenticado puede intentar agotar la memoria del servidor en un punto de conexión de s2n-quic mediante el envío de tramas CRYPTO especialmente diseñadas con desplazamientos elevados. El búfer utilizado para procesar las tramas CRYPTO no impone un límite máximo de tamaño. En el peor de los casos, un único paquete de 1200 bytes puede provocar una asignación de aproximadamente 9,4 MB de memoria. El envío repetido de este tipo de paquetes podría ejercer una presión significativa sobre la memoria y derivar en una denegación de servicio. No es necesario completar un protocolo de enlace válido.

Versiones afectadas: < 1.82.0

Resolución:

Este problema fue abordado en la versión 1.82.0 de s2n-quic. Recomendamos actualizar a la versión más reciente y asegurarse de que cualquier código bifurcado o derivado reciba las revisiones correspondientes para incorporar las nuevas soluciones.

Soluciones alternativas:

No existe ninguna solución alternativa que mitigue por completo este problema. La medida de remediación recomendada consiste en actualizar a la versión que incorpora las revisiones.

Referencias:

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.