공지 ID: 2026-011-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 3월 31일 오전 10시 15분(PST)

설명:

AWS Common Runtime 라이브러리는 여러 AWS SDK에서 이벤트 스트림 서비스와 통신하는 데 사용됩니다(예: Kinesis, Transcribe). CVE-2026-5190이 확인되었습니다. 0.6.0 버전 이전의 AWS Common Runtime 이벤트 스트림 디코더 구성 요소를 사용하면 서버를 운영하는 서드 파티에서 메모리 손상이 일어나 조작된 이벤트 스트림 메시지를 처리하는 클라이언트 애플리케이션에서 임의 코드가 실행될 수 있습니다.

영향을 받는 버전:

• aws-c-event-stream 0.6.0 이전 버전 및 이벤트 스트림 기능을 노출하는 다음과 같은 상위 수준 라이브러리
• aws-iot-device-sdk-cpp-v2 1.42.1 이전 버전
• aws-iot-device-sdk-java-v2 1.30.1 이전 버전
• aws-iot-device-sdk-python-v2 1.28.2 이전 버전
• aws-iot-device-sdk-js-v2 1.25.1 이전 버전
• aws-sdk-swift 1.6.70 이전 버전
• aws-sdk-cpp 1.11.764 이전 버전

해결 방법:

이 문제는 aws-c-event-stream 버전 0.6.0, aws-iot-device-sdk-cpp-v2 버전 1.42.1, aws-iot-device-sdk-java-v2 버전 1.30.1, aws-iot-device-sdk-python-v2 버전 1.28.2, aws-iot-device-sdk-js-v2 버전 1.25.1, aws-sdk-swift 1.6.70, aws-sdk-cpp 버전 1.11.764에서 해결되었습니다.

모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

이 문제는 클라이언트가 서버를 운영하는 서드 파티와 이벤트 스트림 프로토콜을 사용하여 통신할 때만 발생할 수 있습니다. 이 문제를 피하려면 통신 중인 서버를 신뢰할 수 있는지 확인하세요. AWS 서버에서는 해당 문제가 발생하지 않습니다.

참조:

• CVE-2026-5190
• GHSA-xvjw-fjq5-68hf

조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 1seal.org에 감사합니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.