速報 ID: 2026-010-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 3 月 19 日 午後 13 時 30分 (PDT)
 

説明:

AWS-LC は AWS が管理する汎用暗号ライブラリです。AWS は、X.509 証明書の検証に影響する CVE-2026-4428 を特定しました。

AWS-LC の CRL (証明書失効リスト) 配布ポイント照合のロジックエラーにより、証明書の検証中に失効チェックが回避されるおそれがあります。これは、アプリケーションが CRL チェックを有効にし、発行配布ポイント (IDP) 拡張を持つ分割された CRL を使用している場合に発生します。

CRL チェックを有効にしていないアプリケーション (X509_V_FLAG_CRL_CHECK) は影響を受けません。IDP 拡張を持たない完全な (非分割) CRL を使用するアプリケーションも影響を受けません。

影響を受けるバージョン:

• v1.24.0 以降、v1.71.0 より前の AWS-LC における CRL 配布ポイントの適用範囲検証ロジックの不具合
• AWS-LC-FIPS-3.0.0 以降、AWS-LC-FIPS-3.3.0 より前の AWS-LC-FIPS における CRL 配布ポイントの適用範囲検証ロジックの不具合
• v0.15.0 以降、v0.39.0 より前の aws-lc-sys における CRL 配布ポイントの適用範囲検証ロジックの不具合
• v0.13.0 以降、v0.13.13 より前の aws-lc-fips-sys における CRL 配布ポイントの適用範囲検証ロジックの不具合

解決方法:

これらの問題は、AWS-LC バージョン v1.71.0、AWS-LC-FIPS バージョン AWS-LC-FIPS-3.3.0、aws-lc-sys バージョン v0.39.0、および aws-lc-fips-sys バージョン v0.13.13 で修正済みです。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

アプリケーションが CRL チェック (X509_V_FLAG_CRL_CHECK) を有効にしていない場合、この問題を回避できます。IDP 拡張を持たない完全な (非分割) CRL を使用するアプリケーションも影響を受けません。

参考情報:

• CVE-2026-4428
• GHSA-q87m-xr7j-vrww
• GHSA-9f94-5g5w-gf6r

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。