公告 ID：2026-010-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 3 月 19 日下午 1:30 (太平洋夏令時間)
 

描述：

AWS-LC 是由 AWS 維護的通用加密程式庫。我們發現了會影響 X.509 憑證驗證的 CVE-2026-4428 漏洞。

在 AWS-LC 中，CRL (憑證撤銷清單) 分發點比對機制存在邏輯錯誤。當應用程式啟用 CRL 檢查，並使用帶有發行分發點 (IDP) 延伸功能的已分割 CRL 時，此錯誤會導致已撤銷的憑證在驗證過程中繞過撤銷檢查。

未啟用 CRL 檢查的應用程式 (X509_V_FLAG_CRL_CHECK) 不受影響。使用不含 IDP 延伸功能的完整 (非分割) CRL 的應用程式同樣不受影響。

受影響版本：

• AWS-LC >= v1.24.0、< v1.71.0 版本中存在 CRL 分發點範圍檢查邏輯錯誤
• AWS-LC-FIPS >= AWS-LC-FIPS-3.0.0、< AWS-LC-FIPS-3.3.0 版本中存在 CRL 分發點範圍檢查邏輯錯誤
• aws-lc-sys >= v0.15.0、< v0.39.0 版本中存在 CRL 分發點範圍檢查邏輯錯誤
• aws-lc-fips-sys >= v0.13.0、< v0.13.13 版本中存在 CRL 分發點範圍檢查邏輯錯誤

解決方案：

上述問題已在 AWS-LC 版本 v1.71.0、AWS-LC-FIPS 版本 AWS-LC-FIPS-3.3.0、aws-lc-sys 版本 v0.39.0 及 aws-lc-fips-sys 版本 v0.13.13 中修正。建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補，以包含新的修正。

變通方法：

若應用程式未啟用 CRL 檢查 (X509_V_FLAG_CRL_CHECK)，可藉此迴避此問題。使用不含 IDP 延伸功能的完整 (非分割) CRL 的應用程式同樣不受影響。

參考資料：

• CVE-2026-4428
• GHSA-q87m-xr7j-vrww
• GHSA-9f94-5g5w-gf6r

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。