Passer au contenu principal

CVE-2026-5190 – Dépassement de la mémoire tampon de la pile du décodeur de flux d’événements AWS C

ID du bulletin : 2026-011-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 31/03/2026 à 10 h 15 (heure standard du Pacifique)

Description :

La bibliothèque AWS Common Runtime est utilisée par plusieurs kits SDK AWS pour communiquer avec les services de flux d’événements (p. ex., Kinesis, Transcribe). Nous avons identifié le problème CVE-2026-5190. Le composant de décodeur de flux d’événements AWS Common Runtime pour les versions antérieures à la version 0.6.0 pouvait permettre à un tiers exploitant un serveur de provoquer une corruption de la mémoire entraînant l’exécution de code arbitraire sur une application cliente qui traite des messages de flux d’événements spécialement conçus.

Versions affectées :

  • aws-c-event-stream < 0.6.0 et les bibliothèques de niveau supérieur suivantes qui exposent les fonctionnalités de flux d’événements
  • aws-iot-device-sdk-cpp-v2 < 1.42.1
  • aws-iot-device-sdk-java-v2 < 1.30.1
  • aws-iot-device-sdk-python-v2 < 1.28.2
  • aws-iot-device-sdk-js-v2 < 1.25.1
  • aws-sdk-swift < 1.6.70
  • aws-sdk-cpp < 1.11.764

Résolution :

Ce problème a été résolu dans aws-c-event-stream version 0.6.0, aws-iot-device-sdk-cpp-v2 version 1.42.1, aws-iot-device-sdk-java-v2 version 1.30.1, aws-iot-device-sdk-python-v2 version 1.28.2, aws-iot-device-sdk-js-v2 version 1.25.1, aws-sdk-swift 1.6.70 et aws-sdk-cpp version 1.11.764.

Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Le problème ne peut survenir que lorsque le client communique à l’aide du protocole de flux d’événements avec un tiers exploitant un serveur. Pour éviter ce problème, assurez-vous que le serveur avec lequel vous communiquez est fiable. Les serveurs AWS ne devraient pas provoquer ce problème.

Référence :

Nous tenons à remercier 1seal.org pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.