공지 ID: 2026-032-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 5월 14일 오전 11시 45분(PDT)
 

설명:

coreMQTT는 임베디드 디바이스를 위한 경량 MQTT 클라이언트 라이브러리입니다. coreMQTT 5.0.1 이전 버전의 MQTT v5.0 SUBACK 및 UNSUBACK 속성 구문 분석기에서 경계 검증이 누락되어 발생하는 CVE-2026-8686 문제를 확인했습니다. 해당 문제는 MQTT 브로커가 제작된 패킷을 전송하여 서비스 거부(힙 범위를 벗어난 읽기로 인한 충돌)를 일으킵니다.

영향을 받는 버전: v5.0.0

해결 방법:

이 문제는 coreMQTT 버전 5.0.1에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

이 문제에 대한 다른 해결 방법은 없습니다. 고객은 수정된 버전으로 업그레이드해야 합니다.

참고 사항:

• CVE-2026-8686
• GHSA-6qh9-r6jp-2wxc
• coreMQTT PR #367

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Epsilon에 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.