공지 ID: 2026-042-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 10일 오전 11시 15분(PDT)

설명:

s2n-quic은 QUIC 프로토콜의 Rust 구현체입니다. s2n-quic 1.82.0 이전 버전의 CRYPTO 프레임 리어셈블러에서 무제한 메모리 할당 문제인 CVE-2026-10740을 확인했습니다. 인증되지 않은 사용자가 오프셋 높은 조작된 CRYPTO 프레임을 전송하여 s2n-quic 엔드포인트의 서버 메모리 소진을 시도할 수 있습니다. CRYPTO 프레임을 처리하는 데 사용되는 버퍼는 최대 크기를 적용하지 않습니다. 최악의 경우, 단일 1200바이트 패킷으로 약 9.4MB의 할당이 발생할 수 있습니다. 이러한 패킷을 반복적으로 전송하면 메모리 누적으로 인해 서비스 거부가 발생할 수 있습니다. 유효한 핸드셰이크는 필요하지 않습니다.

영향을 받는 버전: v1.82.0 미만

해결 방법:

이 문제는 s2n-quic 버전 v1.82.0에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

이 문제를 완전히 완화하는 해결 방법은 없습니다. 패치된 버전으로 업그레이드하는 것이 권장되는 해결 방법입니다.

참고 사항:

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.