速報 ID: 2026-011-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 3 月 31 日 午前 10 時 15 分 (PST)

説明:

AWS Common Runtime ライブラリは、複数の AWS SDK によって、イベントストリームサービス(Kinesis、Transcribe など) との通信に使用されています。AWS では CVE-2026-5190 を特定しました。AWS Common Runtime イベントストリームデコーダーコンポーネントの 0.6.0 よりも前のバージョンでは、サーバーを運用する第三者がメモリ破損を引き起こし、細工されたイベントストリームメッセージを処理するクライアントアプリケーションにおける任意のコード実行を可能にできる可能性がありました。

影響を受けるバージョン:

• aws-c-event-stream < 0.6.0、およびイベントストリーム機能を提供する次の上位のライブラリ
• aws-iot-device-sdk-cpp-v2 < 1.42.1
• aws-iot-device-sdk-java-v2 < 1.30.1
• aws-iot-device-sdk-python-v2 < 1.28.2
• aws-iot-device-sdk-js-v2 < 1.25.1
• aws-sdk-swift < 1.6.70
• aws-sdk-cpp < 1.11.764

解決方法:

この問題は、aws-c-event-stream バージョン 0.6.0、aws-iot-device-sdk-cpp-v2 バージョン 1.42.1、aws-iot-device-sdk-java-v2 バージョン 1.30.1、aws-iot-device-sdk-python-v2 バージョン 1.28.2、aws-iot-device-sdk-js-v2 バージョン 1.25.1、aws-sdk-swift 1.6.70、aws-sdk-cpp バージョン 1.11.764 で対処されています。

最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

この問題は、クライアントがイベントストリームプロトコルを使用して、サーバーを運用する第三者と通信する場合にのみ発生する可能性があります。この問題を回避するには、通信先のサーバーが信頼できるものであることを確認してください。AWS サーバーはこの問題をトリガーしません。

参考情報:

• CVE-2026-5190
• GHSA-xvjw-fjq5-68hf

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった 1seal.org に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。