AWS-LC 관련 문제: 오픈 소스 범용 암호화 라이브러리(CVE-2026-3336, CVE-2026-3337, CVE-2026-3338)
공지 ID: 2026-005-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 3월 2일 오후 1시 15분(PST)
다음과 같은 CVE를 확인했습니다.
- CVE-2026-3336: AWS-LC의 PKCS7_verify 인증서 체인 검증 우회
- CVE-2026-3337: AWS-LC의 AES-CCM 태그 확인의 타이밍 사이드 채널
- CVE-2026-3338: AWS-LC의 PKCS7_verify 서명 검증 우회
설명:
AWS-LC는 오픈 소스 범용 암호화 라이브러리입니다. 세 가지 서로 다른 문제를 확인했습니다.
- CVE-2026-3336: AWS-LC의 PKCS7_verify 인증서 체인 검증 우회
AWS-LC의 PKCS7_verify() 함수에서 인증서 검증이 제대로 이루어지지 않아 인증되지 않은 사용자가 최종 서명자를 제외한 여러 서명자가 있는 PKCS7 객체를 처리할 때 인증서 체인 확인을 우회할 수 있습니다.
- CVE-2026-3337: AWS-LC의 AES-CCM 태그 확인의 타이밍 사이드 채널
AWS-LC에서 AES-CCM 복호화 시 관찰되는 타이밍 불일치로 인해 인증되지 않은 사용자가 타이밍 분석을 통해 인증 태그 유효성을 잠재적으로 판단할 수 있습니다.
- CVE-2026-3338: AWS-LC의 PKCS7_verify 서명 검증 우회
AWS-LC의 PKCS7_verify() 함수에서 서명 검증이 제대로 이루어지지 않아 인증되지 않은 사용자가 인증된 속성을 가진 PKCS7 객체를 처리할 때 서명 확인을 우회할 수 있습니다.
영향을 받는 버전:
- AWS-LC의 PKCS7_verify 인증서 체인 검증 우회 >= v1.41.0, < v1.69.0
- aws-lc-sys의 PKCS7_verify 인증서 체인 검증 우회 >= v0.24.0, < v0.38.0
- AWS-LC의 AES-CCM 태그 확인의 타이밍 사이드 채널 >= v1.21.0, < v1.69.0
- AWS-LC의 AES-CCM 태그 확인의 타이밍 사이드 채널 >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.2.0
- aws-lc-sys의 AES-CCM 태그 확인의 타이밍 사이드 채널 >= v0.14.0, < v0.38.0
- aws-lc-sys-fips의 AES-CCM 태그 확인의 타이밍 사이드 채널 >= v0.13.0, < v0.13.12
- AWS-LC의 PKCS7_verify 서명 검증 우회 >= v1.41.0, < v1.69.0
- aws-lc-sys의 PKCS7_verify 서명 검증 우회 >= v0.24.0, < v0.38.0
해결 방법:
PKCS7_verify 인증서 체인 검증 우회와 PKCS7_verify 서명 검증 우회는 AWS-LC v1.69.0과 aws-lc-sys v0.38.0에서 해결되었습니다. AES-CCM 태그 확인의 타이밍 사이드 채널은 AWS-LC v1.69.0, AWS-LC-FIPS-3.2.0, aws-lc-sys v0.38.0 및 aws-lc-sys-fips v0.13.12에서 해결되었습니다. AWS-LC의 PKCS7_verify 서명 검증 우회는 AWS-LC v1.69.0과 aws-lc-sys v0.38.0에서 해결되었습니다.
대안:
CVE-2026-3336과 CVE-2026-3338에 대한 알려진 대안이 없습니다.
CVE-2026-3337의 경우 (M=4, L=2), (M=8, L=2) 또는 (M=16, L=2)로 AES-CCM을 사용하는 고객은 각각 EVP_aead_aes_128_ccm_bluetooth, EVP_aead_aes_128_ccm_bluetooth_8, EVP_aead_aes_128_ccm_matter 구현으로 EVP AEAD API를 통해 AES-CCM을 사용하여 이 문제를 해결할 수 있습니다. 이외에 알려진 대안은 없습니다. 고객에게 AWS-LC의 최신 주요 버전으로 업그레이드할 것을 권장했습니다.
참고 사항:
- CVE-2026-3336
- CVE-2026-3337
- CVE-2026-3338
- GHSA-cfwj-9wp5-wqvp
- GHSA-frmv-5gcm-jwxh
- GHSA-jchq-39cv-q4wj
- GHSA-vw5v-4f2q-w9xf
- GHSA-65p9-r9h6-22vj
- GHSA-hfpc-8r3f-gw53
도움을 주신 분:
조정된 취약성 공개 프로세스를 통해 CVE-2026-3336 및 CVE-2026-3337 문제 해결에 도움을 주신 AISLE 연구팀에 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.