공지 ID: 2026-043-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 12일 오전 11시 45분(PDT)

설명:

AWS Common Runtime aws-c-http는 AWS SDK에서 AWS 서비스에 대한 http 요청을 처리하는 데 사용되는 HTTP 클라이언트 라이브러리입니다. AWS Common Runtime aws-c-http 라이브러리에서 HPACK 동적 테이블 크기 업데이트가 부적절하게 처리될 경우, 서버를 운영하는 원격 공격자가 조작된 HTTP/2 HEADERS 프레임 시퀀스를 통해 연결된 클라이언트 애플리케이션의 메모리 손상을 유발하고, 잠재적으로 임의 코드를 실행할 수 있는 CVE-2026-12043 문제를 확인했습니다.

영향을 받는 버전: aws-c-http 0.4.22 이상 및 0.10.15 이하

다음 sdk 버전에 노출되었습니다.

• aws-sdk-cpp 1.11.41 이상, 1.11.814 이하
• aws-sdk-java-v2 2.44.27 이상, 2.44.14 이하

해결 방법:

이 문제는 aws-c-http 버전 0.11.0에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

가능한 경우 HTTP/1.1 연결을 강제 실행합니다.

참고 사항:

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.