Pular para o conteúdo principal

Problema com a AWS-LC: biblioteca criptográfica de código aberto e uso geral (CVE-2026-3336, CVE-2026-3337, CVE-2026-3338)

ID do boletim: 2026-005-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 02/03/2026 13:15 PST
 

Identificamos os seguintes CVEs:

  • CVE-2026-3336: Desvio de validação da cadeia de certificados PKCS7_verify na AWS-LC
  • CVE-2026-3337: Canal lateral de temporização na verificação de tags AES-CCM na AWS-LC
  • CVE-2026-3338: Desvio de validação da assinatura de PKCS7_verify na AWS-LC

Descrição:

A AWS-LC é uma biblioteca criptográfica de código aberto e uso geral. Identificamos três problemas distintos:

  • CVE-2026-3336: Desvio de validação da cadeia de certificados PKCS7_verify na AWS-LC
    A validação inadequada de certificados em PKCS7_verify() na AWS-LC permite que um usuário não autenticado ignore a verificação da cadeia de certificados ao processar objetos PKCS7 com vários signatários, exceto o signatário final.

  • CVE-2026-3337: Canal lateral de temporização na verificação de tags AES-CCM na AWS-LC
    A discrepância de temporização observável na descriptografia de AES-CCM na AWS-LC permite que um usuário não autenticado determine potencialmente a validade da tag de autenticação por meio da análise de temporização.

  • CVE-2026-3338: Desvio de validação da assinatura de PKCS7_verify na AWS-LC
    A validação inadequada de assinaturas em PKCS7_verify() na AWS-LC permite que um usuário não autenticado ignore a verificação de assinaturas ao processar objetos PKCS7 com atributos autenticados.

Versões afetadas:

  • Desvio de validação da cadeia de certificados PKCS7_verify na AWS-LC >= v1.41.0, < v1.69.0
  • Desvio de validação da cadeia de certificados PKCS7_verify na aws-lc-sys >= v0.24.0, < v0.38.0
  • Canal lateral de temporização na verificação de tags AES-CCM na AWS-LC >= v1.21.0, < v1.69.0
  • Canal lateral de temporização na verificação de tags AES-CCM na AWS-LC >= AWS-LC-FIPS-3.0.0, < AWS-LC-FIPS-3.2.0
  • Canal lateral de temporização na verificação de tags AES-CCM na aws-lc-sys >= v0.14.0, < v0.38.0
  • Canal lateral de temporização na verificação de tags AES-CCM na aws-lc-sys-fips >= v0.13.0, < v0.13.12
  • Desvio de validação da assinatura de PKCS7_verify na AWS-LC >= v1.41.0, < v1.69.0
  • Desvio de validação da assinatura de PKCS7_verify na aws-lc-sys >= v0.24.0, < v0.38.0

Resolução:

O Desvio de validação da cadeia de certificados PKCS7_verify e o Desvio de validação da assinatura de PKCS7_verify foram resolvidos na AWS-LC v1.69.0 e na aws-lc-sys v0.38.0. O Canal lateral de temporização na verificação de tags AES-CCM foi resolvido na AWS-LC v1.69.0, AWS-LC-FIPS-3.2.0, aws-lc-sys v0.38.0 e aws-lc-sys-fips v0.13.12. O Desvio de validação da assinatura de PKCS7_verify na AWS-LC foi resolvido na AWS-LC v1.69.0 e na aws-lc-sys v0.38.0.

Soluções alternativas:

Não há soluções alternativas conhecidas para o CVE-2026-3336 e o CVE-2026-3338.

Para o CVE-2026-3337, os clientes quem usam o AES-CCM com (M=4, L=2), (M=8, L=2) ou (M=16, L=2) podem contornar esse problema usando o AES-CCM por meio da API EVP AEAD com as implementações EVP_aead_aes_128_ccm_bluetooth, EVP_aead_aes_128_ccm_bluetooth_8 e EVP_aead_aes_128_ccm_matter, respectivamente. Caso contrário, não existe solução alternativa conhecida. Recomendamos que os clientes façam upgrade para as versões principais mais recentes da AWS-LC.

Referências:

Agradecimento:

Gostaríamos de agradecer à Equipe de pesquisa da AISLE por colaborar nos problemas CVE-2026-3336 e CVE-2026-3337 por meio do processo coordenado de divulgação de vulnerabilidades.
 

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.