AWS-LC 관련 문제: 오픈 소스 범용 암호화 라이브러리 (CVE-2026-3336, CVE-2026-3337, CVE-2026-3338)

AWS는 자사의 오픈 소스 암호화 라이브러리인 AWS-LC와 관련하여 중요한 보안 공지를 발표했습니다. 라이브러리 내에서 세 가지 심각한 취약점이 발견되었습니다. 첫 번째 취약점인 CVE-2026-3336은 PKCS7_verify 함수에서 인증서 체인 검증 우회와 관련이 있습니다. 이 결함은 권한 없는 사용자가 여러 서명자가 있는 PKCS7 객체를 처리할 때 검증을 우회할 수 있도록 합니다. 두 번째 취약점인 CVE-2026-3337은 AES-CCM 태그 검증 시 타이밍 사이드 채널과 관련이 있습니다. 이 취약점은 공격자가 복호화 과정에서 타이밍 분석을 통해 태그 유효성을 파악할 수 있도록 합니다. 세 번째 취약점인 CVE-2026-3338은 PKCS7_verify 내의 서명 검증 우회입니다. 이는 공격자가 인증된 속성을 특징으로 하는 PKCS7 객체를 처리할 때 서명 검증을 우회할 수 있도록 합니다. 이러한 취약점은 FIPS 호환 버전을 포함하여 AWS-LC 및 aws-lc-sys의 다양한 버전에 영향을 미칩니다. 영향을 받는 버전은 각 취약점에 대해 공지에 명시되어 있습니다. 사용자는 영향을 받는 버전의 전체 목록을 확인하기 위해 공지를 확인해야 합니다. 공지에서는 자세한 정보와 최신 업데이트를 위해 제공된 기사를 참조할 것을 권장합니다. 이러한 보안 문제를 해결하기 위한 조치가 필요합니다.