Problemas de compromiso de clave en los clientes de cifrado de S3
ID del boletín: AWS-2025-032
Alcance:
AWS
Tipo de contenido:
Importante (requiere atención)
Fecha de publicación: 17/12/2025 12:15 h PST
Hemos identificado las siguientes CVE:
- CVE-2025-14763: Problemas de compromiso de clave en el cliente de cifrado S3 en Java
- CVE-2025-14764: Problemas de compromiso de clave en el cliente de cifrado S3 en Go
- CVE-2025-14759: Problemas de compromiso de clave en el cliente de cifrado S3 en .NET
- CVE-2025-14760: Problemas de compromiso de clave en el cliente de cifrado S3 en C++ (parte del AWS SDK para C++)
- CVE-2025-14761: Problemas de compromiso de clave en el cliente de cifrado S3 en PHP (parte del AWS SDK para PHP)
- CVE-2025-14762: Problemas de compromiso de clave en el cliente de cifrado S3 en Ruby (parte del AWS SDK para Ruby)
Descripción:
Los clientes de cifrado de S3 para Java, Go, .NET, C++, PHP y Ruby son bibliotecas de cifrado en el cliente de código abierto que se utilizan para facilitar la escritura y la lectura de registros cifrados en S3.
Cuando la clave de datos cifrados (EDK) se almacena en un “Archivo de instrucciones” en lugar del registro de metadatos de S3, la EDK queda expuesta a un ataque de “Invisible Salamanders”, que podría permitir reemplazar la EDK por una nueva clave.
Versiones afectadas:
- Cliente de cifrado S3 en Java: <= 3.5.0
- Cliente de cifrado S3 en Go: <= 3.1.0
- Cliente de cifrado S3 en .NET: <= 3.1
- AWS SDK para C++: <= 1.11.711
- AWS SDK para PHP: <= 3.367.0
- AWS SDK para Ruby: <= 1.207.0
Resolución:
Estamos introduciendo el concepto de “compromiso de clave” en S3EC, en el que la EDK está vinculada criptográficamente al texto cifrado para abordar este problema. Para mantener la compatibilidad de los mensajes en tránsito, publicaremos la corrección en dos versiones. Una versión secundaria compatible con el código que puede leer mensajes con un compromiso de clave pero no escribirlos, y una nueva versión principal que puede leer y escribir mensajes con un compromiso de clave. Recomendamos a los clientes que actualicen a la versión principal más reciente.
Soluciones alternativas:
No hay soluciones alternativas conocidas.
Referencias:
- https://eprint.iacr.org/2019/016
- GHSA-x44p-gvrj-pj2r
- GHSA-3g75-q268-r9r6
- GHSA-4v42-65r3-3gjx
- GHSA-792f-r46x-r7gm
- GHSA-x8cp-jf6f-r4xh
- GHSA-2xgq-q749-89fq
Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.