Problemas relevantes de comprometimento nos clientes de criptografia do S3
ID do boletim: AWS-2025-032
Escopo:
AWS
Tipo de conteúdo:
importante (requer atenção)
Data de publicação: 17/12/2025 12:15 PST
Identificamos os seguintes CVEs:
- CVE-2025-14763: problemas relevantes de comprometimento no cliente de criptografia do S3 no Java
- CVE-2025-14764: problemas relevantes de comprometimento no cliente de criptografia do S3 no Go
- CVE-2025-14759: problemas relevantes de comprometimento no cliente de criptografia do S3 no .NET
- CVE-2025-14760: problemas relevantes de comprometimento no cliente de criptografia do S3 no C++ (parte do AWS SDK para C++)
- CVE-2025-14761: problemas relevantes de comprometimento no cliente de criptografia do S3 em PHP (parte do AWS SDK para PHP)
- CVE-2025-14762: problemas relevantes de comprometimento no cliente de criptografia do S3 em Ruby (parte do AWS SDK para Ruby)
Descrição:
Os clientes de criptografia do S3 para Java, Go, .NET, C++, PHP e Ruby são bibliotecas de criptografia de código aberto do lado do cliente usadas para facilitar a gravação e a leitura de registros criptografados no S3.
Quando a chave de dados criptografada (EDK) é armazenada em um “arquivo de instrução” em vez do registro de metadados do S3, o EDK fica exposto a um ataque de “Invisible Salamanders”, que pode permitir que o EDK seja substituído por uma nova chave.
Versões afetadas:
- Cliente de criptografia do S3 no Java: <= 3.5.0
- Cliente de criptografia S3 no Go: <= 3.1.0
- Cliente de criptografia S3 no .NET: <= 3.1
- AWS SDK para C++: <= 1.11.711
- AWS SDK para PHP: <= 3.367.0
- AWS SDK para Ruby: <= 1.207.0
Resolução:
Estamos apresentando o conceito de “comprometimento de chave” no S3EC, em que o EDK é vinculado criptograficamente ao texto cifrado para resolver esse problema. Para manter a compatibilidade das mensagens em tempo real, estamos lançando a correção em duas versões. Uma versão secundária compatível com código que pode ler mensagens com comprometimento de chave, mas não gravá-las, e uma nova versão principal que pode ler e escrever mensagens com comprometimento de chave. Recomendamos que os clientes atualizem para a versão principal mais recente.
Soluções alternativas:
Não há soluções alternativas conhecidas.
Referências:
- https://eprint.iacr.org/2019/016
- GHSA-x44p-gvrj-pj2r
- GHSA-3g75-q268-r9r6
- GHSA-4v42-65r3-3gjx
- GHSA-792f-r46x-r7gm
- GHSA-x8cp-jf6f-r4xh
- GHSA-2xgq-q749-89fq
Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.