Passer au contenu principal

Problème avec AWS-LC : une bibliothèque cryptographique open source à usage général (CVE-2026-3336, CVE-2026-3337, CVE-2026-3338)

ID du bulletin : 2026-005-AWS
Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 02/03/2026 à 13 h 15 (heure du Pacifique)
 

Nous avons identifié les CVE suivants :

  • CVE-2026-3336 : contournement de la validation de la chaîne de certificats PKCS7_verify dans AWS-LC
  • CVE-2026-3337 : synchronisation du canal latéral dans la vérification des balises AES-CCM dans AWS-LC
  • CVE-2026-3338 : contournement de la validation de signature PKCS7_verify dans AWS-LC

Description :

AWS-LC est une bibliothèque cryptographique open source à usage général. Nous avons identifié trois problèmes distincts :

  • CVE-2026-3336 : contournement de la validation de la chaîne de certificats PKCS7_verify dans AWS-LC
    Une validation de certificat incorrecte dans PKCS7_verify() dans AWS-LC permet à un utilisateur non authentifié de contourner la vérification de la chaîne de certificats lors du traitement d’objets PKCS7 avec plusieurs signataires, à l’exception du signataire final.

  • CVE-2026-3337 : synchronisation du canal latéral dans la vérification des balises AES-CCM dans AWS-LC
    Un écart temporel observable dans le déchiffrement AES-CCM dans AWS-LC permet à un utilisateur non authentifié de déterminer potentiellement la validité de la balise d’authentification via une analyse temporelle.

  • CVE-2026-3338 : contournement de la validation de signature PKCS7_verify dans AWS-LC
    Une validation de signature incorrecte dans PKCS7_verify() dans AWS-LC permet à un utilisateur non authentifié de contourner la vérification de signature lors du traitement d’objets PKCS7 avec des attributs authentifiés.

Versions affectées :

  • Contournement de la validation de la chaîne de certificats PKCS7_verify dans AWS-LC >= v1.41.0, < v1.69.0
  • Contournement de la validation de la chaîne de certificats PKCS7_verify dans aws-lc-sys >= v0.24.0, < v0.38.0
  • Synchronisation du canal latéral dans la vérification des balises AES-CCM dans AWS-LC >= v1.21.0, < v1.69.0
  • Synchronisation du canal latéral dans la vérification des balises AES-CCM dans AWS-LC >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.2.0
  • Synchronisation du canal latéral dans la vérification des balises AES-CCM dans aws-lc-sys >= v0.14.0, < v0.38.0
  • Synchronisation du canal latéral dans la vérification des balises AES-CCM dans aws-lc-sys-fips >= v0.13.0, < v0.13.12
  • Contournement de la validation des signatures PKCS7_verify dans AWS-LC >= v1.41.0, < v1.69.0
  • Contournement de la validation des signatures PKCS7_verify dans aws-lc-sys >= v0.24.0, < v0.38.0

Résolution :

Le contournement de la validation de la chaîne de certificats PKCS7_verify et le contournement de la validation des signatures PKCS7_verify ont été résolus dans AWS-LC v1.69.0 et aws-lc-sys v0.38.0. La synchronisation des canaux secondaires dans la vérification des balises AES-CCM a été résolue dans AWS-LC v1.69.0, AWS-LC-FIPS-3.2.0, aws-lc-sys v0.38.0 et aws-lc-sys-fips v0.13.12. Le contournement de la validation des signatures PKCS7_verify dans AWS-LC a été résolu dans AWS-LC v1.69.0 et aws-lc-sys v0.38.0.

Solutions de contournement :

Il n’existe aucune solution de contournement connue pour CVE-2026-3336 et CVE-2026-3338.

Pour CVE-2026-3337, les clients utilisant AES-CCM avec (M=4, L=2), (M=8, L=2) ou (M=16, L=2) peuvent résoudre ce problème en utilisant AES-CCM via l’API EVP AEAD à l’aide des implémentations EVP_aead_aes_128_ccm_bluetooth, EVP_aead_aes_128_ccm_bluetooth_8 et EVP_aead_aes_128_ccm_matter respectivement. Dans le cas contraire, il n’existe aucune solution de contournement connue. Nous avons recommandé aux clients de passer aux dernières versions majeures d’AWS-LC.

Références :

Remerciements :

Nous tenons à remercier l’équipe de recherche de l’AISLE pour sa collaboration sur les problèmes CVE-2026-3336 et CVE-2026-3337 dans le cadre du processus coordonné de divulgation des vulnérabilités.
 

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.