概要

Amazon は、AWS-LC（Amazon Web Services のオープンソース暗号ライブラリ）に存在する 3 つの高危険度の脆弱性を詳細に説明する重要なセキュリティ情報（2026-005-AWS）を発表しました。これらの脆弱性は、AISLE Research Team との協調的な情報開示プロセスを通じて発見されました。

脆弱性の詳細

これらの脆弱性は、AWS-LC が暗号化プロセスを処理する方法に影響を及ぼします。特に、デジタル証明書と署名を検証する PKCS7_verify() 関数が問題となっています。

CVE-2026-3336

この脆弱性は、PKCS7 オブジェクトを複数の署名者が処理する際に発生します。不正な認証者が存在する場合、この脆弱性を悪用することで、最終署名者を除くすべての署名者のチェーン検証をバイパスすることが可能です。

CVE-2026-3337

この脆弱性は、AES-CCM 復号中に観察可能なタイミングサイドチャネルを導入します。処理時間の小さな遅延を分析することで、不正な認証者が認証タグが有効であるかどうかを特定し、暗号化の整合性を損なう可能性があります。

CVE-2026-3338

この脆弱性は、PKCS7_verify() 関数の署名検証の不適切な処理に関連しています。これにより、認証者が存在しないユーザーが PKCS7 オブジェクトを処理する際に署名検証を完全にバイパスすることが可能となります。

影響するバージョンと対策

Amazon は、すべての顧客に対して最新の主要バージョンにアップグレードすることを強く推奨しています。これらの脆弱性は、AWS-LC の複数のバージョンと関連システムパッケージに影響を及ぼします。

• CVE-2026-3336 と CVE-2026-3338 は、AWS-LC v1.41.0 から v1.69.0、aws-lc-sys v0.24.0 から v0.38.0 に影響を及ぼします。
• CVE-2026-3337 は、AWS-LC v1.21.0 から影響を及ぼし、FIPS バージョン（AWS-LC-FIPS 3.0.0 から 3.2.0）も含みます。

Amazon は、これらのセキュリティギャップを解決するために、AWS-LC v1.69.0 と aws-lc-sys v0.38.0 で PKCS7 バイパス脆弱性を修正し、AWS-LC v1.69.0、AWS-LC-FIPS-3.2.0、aws-lc-sys v0.38.0、aws-lc-sys-fips v0.13.12 でタイミングサイドチャネル脆弱性を修正しました。

一時的な対策

タイミングサイドチャネル脆弱性に対しては、一時的な対策として、AES-CCM で特定のパラメータを使用する場合、EVP AEAD API を経由して暗号化を行うことが可能です。これにより、セキュリティチームは、公式パッチを展開するまでシステムを保護することができます。

結論

これらの脆弱性は、AWS-LC の広範な使用により、不正な認証者が重要なデータを侵害する可能性があるため、緊急性が非常に高いと言えます。顧客は速やかにアップデートを行うことを強く推奨します。

---

元記事: https://gbhackers.com/aws-lc-flaw-exposes-amazon-users/