Problemi di impegno della chiave nei client di crittografia S3
ID Bollettino: AWS-2025-032
Ambito:
AWS
Tipo di contenuto:
importante (richiede attenzione)
Data di pubblicazione: 17/12/2025 12:15 PST
Abbiamo identificato le seguenti CVE:
- CVE-2025-14763: problemi di impegno della chiave nel client di crittografia S3 in Java
- CVE-2025-14764: problemi di impegno della chiave nel client di crittografia S3 in Go
- CVE-2025-14759: problemi di impegno della chiave nel client di crittografia S3 in .NET
- CVE-2025-14760: problemi di impegno della chiave nel client di crittografia S3 in C++ (parte di AWS SDK per C++)
- CVE-2025-14761: problemi di impegno della chiave nei client di crittografia S3 in PHP (parte di AWS SDK per PHP)
- CVE-2025-14762: problemi di impegno della chiave nei client di crittografia S3 in Ruby (parte di AWS SDK per Ruby)
Descrizione:
I client di crittografia S3 per Java, Go, .NET, C++, PHP e Ruby sono librerie di crittografia lato client open source utilizzate per facilitare la scrittura e la lettura di record crittografati su S3.
Quando la chiave dati crittografata (EDK) viene archiviata in un “File di istruzioni” anziché nel record di metadati di S3, l’EDK viene esposta a un attacco “Invisible Salamanders”, che potrebbe consentire la sostituzione dell’EDK con una nuova chiave.
Versioni interessate:
- Client di crittografia S3 per Java: <= 3.5.0
- Client di crittografia S3 per Go: <= 3.1.0
- Client di crittografia S3 per .NET: <= 3.1
- AWS SDK per C++: <= 1.11.711
- AWS SDK per PHP: <= 3.367.0
- AWS SDK per Ruby: <= 1.207.0
Risoluzione:
Per risolvere questo problema, stiamo introducendo il concetto di “impegno della chiave” in S3EC, in cui l’EDK viene legata crittograficamente al testo criptato. Al fine di mantenere la compatibilità con i messaggi “in-flight”, stiamo rilasciando la correzione in due versioni: una nuova versione principale in grado di leggere e scrivere messaggi con impegno della chiave; una versione secondaria compatibile con il codice in grado di leggere, ma non scrivere, i messaggi con impegno della chiave. Consigliamo ai clienti di eseguire l’aggiornamento alla versione principale più recente.
Soluzioni alternative:
non sono note soluzioni alternative.
Riferimenti:
- https://eprint.iacr.org/2019/016
- GHSA-x44p-gvrj-pj2r
- GHSA-3g75-q268-r9r6
- GHSA-4v42-65r3-3gjx
- GHSA-792f-r46x-r7gm
- GHSA-x8cp-jf6f-r4xh
- GHSA-2xgq-q749-89fq
Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.