公告 ID：2026-043-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 6 月 12 日上午 11:45 (太平洋夏令時間)

描述：

AWS Common Runtime aws-c-http 是一個 HTTP 用戶端程式庫，由 AWS SDK 用於處理對 AWS 服務的 HTTP 請求。我們發現了編號為 CVE-2026-12043 的漏洞，該問題源於 AWS Common Runtime aws-c-http 程式庫中，對於 HPACK 動態表大小更新的處理不當。遠端攻擊者可藉由操作伺服器，透過精心製作的 HTTP/2 HEADERS 訊框序列，對連線的用戶端應用程式造成記憶體損毀，進而可能導致任意程式碼執行。

受影響版本：aws-c-http >= 0.4.22 AND <= 0.10.15

以下 SDK 版本亦受影響：

• aws-sdk-cpp >= 1.11.41, <= 1.11.814
• aws-sdk-java-v2 >= 2.44.27, <= 2.44.14

解決方案：

此問題已在 aws-c-http 版本 0.11.0 中得以解決。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。

變通方法：

若可行，請強制使用 HTTP/1.1 連線。

參考資料：

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。