공지 ID: 2026-010-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 3월 19일 오후 1시 30분(PDT)
 

설명:

AWS-LC는 AWS에서 유지 관리하는 범용 암호화 라이브러리입니다. X.509 인증서 검증에 영향을 미치는 CVE-2026-4428 사실을 확인했습니다.

애플리케이션이 CRL 검사를 활성화하고 IDP(발급 배포 지점) 확장이 포함된 분할된 CRL을 사용하는 경우 AWS-LC의 CRL(인증서 취소 목록) 배포 지점 매칭에 로직 오류가 발생하여 인증서 검증 중에 해지된 인증서가 해지 검사를 우회할 수 있습니다.

CRL 검사를 활성화하지 않는 애플리케이션(X509_V_FLAG_CRL_CHECK)은 영향을 받지 않습니다. IDP 확장이 없는 전체(분할되지 않은) CRL을 사용하는 애플리케이션도 영향을 받지 않습니다.

영향을 받는 버전:

• AWS-LC >= v1.24.0, < v1.71.0의 CRL 배포 지점 범위 검사 로직 오류
• AWS-LC-FIPS >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.3.0의 CRL 배포 지점 범위 검사 로직 오류
• aws-lc-sys >= v0.15.0, < v0.39.0의 CRL 배포 지점 범위 검사 로직 오류
• aws-lc-fips-sys >= v0.13.0, < v0.13.13의 CRL 배포 지점 범위 검사 로직 오류

해결 방법:

이러한 문제는 AWS-LC 버전 v1.71.0, AWS-LC-FIPS 버전 AWS-LC-FIPS-3.3.0, aws-lc-sys 버전 v0.39.0 및 aws-lc-fips-sys 버전 v0.13.13에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

애플리케이션에서 CRL 검사(X509_V_FLAG_CRL_CHECK)를 활성화하지 않은 경우 이 문제를 해결할 수 있습니다. IDP 확장이 없는 전체(분할되지 않은) CRL을 사용하는 애플리케이션도 영향을 받지 않습니다.

참고 사항:

• CVE-2026-4428
• GHSA-q87m-xr7j-vrww
• GHSA-9f94-5g5w-gf6r

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.