ID du bulletin : 2026-043-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 12/06/2026 à 11 h 45 PDT

Description :

AWS Common Runtime aws-c-http est une bibliothèque cliente HTTP utilisée par les kits SDK AWS pour gérer les requêtes HTTP adressées aux services AWS. Nous avons identifié CVE-2026-12043, un problème à cause duquel la gestion incorrecte des mises à jour de la taille de la table dynamique HPACK dans la bibliothèque AWS Common Runtime aws-c-http pourrait permettre à un acteur distant exploitant un serveur de provoquer une corruption de la mémoire dans une application cliente connectée, ce qui pourrait entraîner l’exécution de code arbitraire au moyen d’une séquence spécialement conçue de trames HEADERS HTTP/2.

Versions concernées : aws-c-http >= 0.4.22 ET <= 0.10.15

Exposé dans les versions suivantes des SDK :

• aws-sdk-cpp >= 1.11.41, <= 1.11.814
• aws-sdk-java-v2 >= 2.44.27, <= 2.44.14

Résolution :

Ce problème a été résolu dans la version 0.11.0 d’aws-c-http. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Forcez les connexions HTTP/1.1 si elles sont disponibles.

Références :

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.