Passer au contenu principal

CVE-2026-4428 : Problèmes avec AWS-LC – Erreur de logique dans la vérification de la portée du point de distribution CRL

ID du bulletin : 2026-010-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 19/03/2026 à 13 h 30 (heure du Pacifique)
 

Description :

AWS-LC est une bibliothèque cryptographique polyvalente gérée par AWS. Nous avons identifié la vulnérabilité CVE-2026-4428 affectant la vérification des certificats X.509.

Une erreur de logique dans la correspondance des points de distribution de la liste de révocation de certificats (CRL) dans AWS-LC permet à un certificat révoqué de contourner les vérifications de révocation lors de la validation du certificat, lorsque l’application active la vérification des listes CRL et utilise des listes partitionnées avec des extensions IDP (Issuing Distribution Point).

Les applications qui n’activent pas la vérification des listes CRL (X509_V_FLAG_CRL_CHECK) ne sont pas concernées. Les applications utilisant des listes CRL complètes (non partitionnées) sans extensions IDP ne sont pas non plus concernées.

Versions affectées :

  • Erreur de logique de vérification de la portée du point de distribution CRL dans AWS-LC, versions v1.24.0 ou ultérieures, mais antérieures à la version v1.71.0
  • Erreur de logique de vérification de la portée du point de distribution CRL dans AWS-LC-FIPS, versions AWS-LC-FIPS-3.0.0 ou ultérieures, mais antérieures à la version AWS-LC-FIPS-3.3.0
  • Erreur de logique de vérification de la portée du point de distribution CRL dans aws-lc-sys, versions v0.15.0 ou ultérieures, mais antérieures à la version v0.39.0
  • Erreur de logique de vérification de la portée du point de distribution CRL dans aws-lc-fips-sys, versions v0.13.0 ou ultérieures, mais antérieures à la version v0.13.13

Résolution :

Ces problèmes ont été résolus dans AWS-LC version v1.71.0, AWS-LC-FIPS version AWS-LC-FIPS-3.3.0, aws-lc-sys version v0.39.0 et aws-lc-fips-sys version v0.13.13. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Les applications peuvent contourner ce problème en désactivant la vérification des listes CRL (X509_V_FLAG_CRL_CHECK). Les applications utilisant des listes CRL complètes (non partitionnées) sans extensions IDP ne sont pas non plus concernées.

Références :


Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.