Problèmes d’engagement de clé dans les clients de chiffrement S3
ID du bulletin : AWS-2025-032
Étendue :
AWS
Type de contenu :
important (nécessite une attention particulière)
Date de publication : 17/12/2025 à 12 h 15 (heure du Pacifique)
Nous avons identifié les CVE suivants :
- CVE-2025-14763 – Problèmes d’engagement de clé dans le client de chiffrement S3 en Java
- CVE-2025-14764 – Problèmes d’engagement de clé dans le client de chiffrement S3 en Go
- CVE-2025-14759 – Problèmes d’engagement de clé dans le client de chiffrement S3 en .NET
- CVE-2025-14760 – Problèmes d’engagement de clé dans le client de chiffrement S3 en C++ (dans le cadre de l’AWS SDK pour C++)
- CVE-2025-14761 – Problèmes d’engagement de clé dans le client de chiffrement S3 en PHP (dans le cadre de l’AWS SDK pour PHP)
- CVE-2025-14762 – Problèmes d’engagement de clé dans le client de chiffrement S3 en Ruby (dans le cadre de l’AWS SDK pour Ruby)
Description :
Les clients de chiffrement S3 pour Java, Go, .NET, C++, PHP et Ruby sont des bibliothèques de chiffrement côté client open source utilisées pour faciliter l’écriture et la lecture d’enregistrements chiffrés dans S3.
Lorsque la clé de données chiffrée (EDK) est stockée dans un « fichier d’instructions » au lieu de l’enregistrement de métadonnées de S3, l’EDK est exposée à une attaque de type « Invisible Salamanders », qui pourrait permettre de remplacer l’EDK par une nouvelle clé.
Versions concernées :
- Client de chiffrement S3 Java : <= 3.5.0
- Client de chiffrement S3 Go : <= 3.1.0
- Client de chiffrement S3 .NET : <= 3.1
- AWS SDK pour C++ : <= 1.11.711
- AWS SDK pour PHP : <= 3.367.0
- AWS SDK pour Ruby : <= 1.207.0
Résolution :
Nous introduisons le concept d’« engagement de clé » dans S3EC, qui consiste à lier cryptographiquement l’EDK au texte chiffré afin de résoudre ce problème. Afin de maintenir la compatibilité des messages en vol, nous publions le correctif en deux versions : une version mineure compatible avec le code, qui peut lire les messages avec un engagement de clé mais pas les écrire, et une nouvelle version majeure qui peut à la fois lire et écrire des messages avec un engagement de clé. Nous recommandons aux clients de mettre à niveau vers la dernière version majeure.
Solutions de contournement :
Il n’existe aucune solution de contournement connue.
Références :
- https://eprint.iacr.org/2019/016
- GHSA-x44p-gvrj-pj2r
- GHSA-3g75-q268-r9r6
- GHSA-4v42-65r3-3gjx
- GHSA-792f-r46x-r7gm
- GHSA-x8cp-jf6f-r4xh
- GHSA-2xgq-q749-89fq
Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.