Passa al contenuto principale

CVE-2026-4428: Problemi con AWS-LC - Errore logico nella verifica dell’ambito del punto di distribuzione CRL

ID bollettino: 2026-010-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 19/03/2026 13:30 PDT
 

Descrizione:

AWS-LC è una libreria crittografica a uso generico mantenuta da AWS. Abbiamo identificato la vulnerabilità CVE-2026-4428 che riguarda la verifica del certificato X.509.

Un errore logico nella corrispondenza dei punti di distribuzione CRL (Certificate Revocation List) in AWS-LC consente a un certificato revocato di aggirare i controlli di revoca durante la convalida del certificato stesso, quando l’applicazione abilita la verifica CRL e utilizza i CRL partizionati con le estensioni IDP (Issuing Distribution Point).

Le applicazioni che non abilitano la verifica CRL (X509_V_FLAG_CRL_CHECK) non sono coinvolte. Anche le applicazioni che utilizzano CRL completi (non partizionati) senza estensioni IDP non sono coinvolte.

Versioni interessate:

  • Errore logico nella verifica dell’ambito del punto di distribuzione CRL in AWS-LC v1.24.0 e versioni successive, e nelle versioni precedenti a v1.71.0
  • Errore logico nella verifica dell’ambito del punto di distribuzione CRL in AWS-LC-FIPS-3.0.0 e versioni successive, e nelle versioni precedenti a AWS-LC-FIPS-3.3.0
  • Errore logico nella verifica dell’ambito del punto di distribuzione CRL in aws-lc-sys v0.15.0 e versioni successive, e nelle versioni precedenti a v0.39.0
  • Errore logico nella verifica dell’ambito del punto di distribuzione CRL in aws-lc-fips-sys v0.13.0 e versioni successive, e nelle versioni precedenti a v0.13.13

Risoluzione:

Questi problemi sono stati risolti nella versione AWS-LC v1.71.0, nella versione AWS-LC-FIPS AWS-LC-FIPS-3.3.0, nella versione aws-lc-sys v0.39.0 e nella versione aws-lc-fips-sys v0.13.13. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

Le applicazioni possono aggirare questo problema non abilitando la verifica CRL (X509_V_FLAG_CRL_CHECK). Anche le applicazioni che utilizzano CRL completi (non partizionati) senza estensioni IDP non sono coinvolte.

Riferimenti:


Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.