RSS AWS 최신 공지 팔로우 지정된 웹 페이지는 AWS에서 제공하는 보안 공지 사항을 다루는 웹 페이지입니다. 최신 보안 공지 및 업데이트에 대한 정보 전달의 신뢰할 수 있는 출처 중 하나입니다. 공지 사항은 주로 보안 고지, 밴드 패치 및 기타 제품 보안 업데이트에 대해 다룹니다. 이러한 공지 사항은 사용자가 최신 보안 고려 사항을 쉽게 최신 상태로 유지할 수 있도록 하여, 인프라가 안전하고 준수할 수 있도록 합니다. Latest Bulletins aws.amazon.com RSS aws.amazon.com
CVE-2026-12957 및 CVE-2026-12958 - AWS 및 Amazon Q 개발자 플러그인용 언어 서버의 문제 AWS는 AWS용 언어 서버 및 Amazon Q Developer IDE 플러그인에 관한 중요한 보안 공지를 발표했습니다. 즉각적인 주의가 필요한 두 가지 취약점이 확인되었습니다. 첫 번째, CVE-2026-12957은 1.65.0 이전 버전에서 발생하는 부적절한 신뢰 경계 강제 문제입니다. 이는 로컬 사용자가 조작된 워크스페이스를 열고 이를 신뢰할 경우 자동 명령 실행으로 이어질 수 있습니다. 두 번째 취약점인 CVE-2026-12958은 심볼릭 링크 유효성 검사 누락과 관련이 있습니다. 이는 1.69.0 이전 버전에 영향을 미치며 워크스페이스 외부를 가리키는 악의적으로 조작된 심볼릭 링크를 통해 악용될 수 있습니다. 두 취약점 모두 이러한 언어 서버를 사용하는 Amazon Q Developer IDE 플러그인에 존재합니다. 이러한 심각한 문제는 AWS용 언어 서버 버전 1.69.0에서 해결되었습니다. 영향을 받는 제품에는 VS Code, JetBrains, Eclipse 및 Visual Studio용 Amazon Q Developer IDE 플러그인의 다양한 버전이 포함됩니다. 이러한 위험을 완화하기 위해 최신 버전으로 업데이트하는 것이 강력히 권장됩니다. 자세한 내용과 최신 정보는 연결된 AWS 보안 공지에서 확인할 수 있습니다. CVE-2026-12957 and CVE-2026-12958 - Issues in Language Servers for AWS and Amazon Q Developer Plugins aws.amazon.com
containerd CRI 플러그인 문제 - CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262 AWS는 Kubernetes에서 사용하는 컨테이너 런타임인 containerd의 취약점에 대한 중요 공지를 발표했습니다. containerd CRI 플러그인에서 다섯 가지 특정 문제가 확인되었습니다. 이러한 취약점은 containerd 버전 1.7부터 2.3까지 영향을 미칩니다. 확인된 CVE에는 로컬 이미지 태그 중독, 이미지 구성을 통한 명령 실행, CDI 주석 스머글링, 임의 호스트 파일 읽기, 이미지에 의해 트리거되는 서비스 거부 공격이 포함됩니다. 이러한 문제는 다양한 AWS 관리형 컨테이너 서비스에 영향을 미칩니다. 여기에는 Amazon EKS, Amazon ECS, AWS Fargate, Bottlerocket 및 Amazon Linux가 포함됩니다. 이 공지는 사용자들에게 이러한 보안 조사 결과에 주의를 기울일 것을 촉구합니다. 사용자는 최신 및 포괄적인 세부 정보를 위해 연결된 기사를 참조해야 합니다. 잠재적 위험을 완화하기 위해 즉각적인 조치가 필요할 수 있습니다. Issue with containerd CRI Plugin - CVE-2026-50195, CVE-2026-53488, CVE-2026-53492, CVE-2026-53489, CVE-2026-47262 aws.amazon.com
CVE-2026-12530 - AWS Bedrock AgentCore Python SDK install_packages()에서의 인수 구분자 부적절한 중화 AWS는 Bedrock AgentCore Python SDK에 대한 보안 공지를 발표했습니다. CVE-2026-12530으로 식별된 취약점이 Code Interpreter 클라이언트의 install_packages() 메서드에서 발견되었습니다. 이 메서드는 셸 명령에 사용되는 패키지 이름 인수를 충분히 검증하지 못했습니다. 구체적으로, 불완전한 차단 목록으로 인해 조작된 입력이 유효성 검사를 우회할 수 있었습니다. 이 우회는 pip의 --index-url 플래그를 악용하여 패키지 설치를 악의적인 제3자 서버로 리디렉션할 수 있었습니다. 또한, -r 플래그를 사용하여 Code Interpreter 샌드박스 내의 임의 파일을 읽고 노출할 수 있었습니다. 취약한 SDK 버전은 1.1.3부터 1.6.1 미만까지입니다. 해당 버전을 사용하는 개발자는 즉각적인 조치를 취하는 것이 강력히 권장됩니다. 자세한 내용과 최신 정보는 제공된 기사에서 확인할 수 있습니다. CVE-2026-12530 - Improper neutralization of argument delimiters in AWS Bedrock AgentCore Python SDK install_packages() aws.amazon.com
CVE-2026-11931 - Kiro IDE의 인증 토큰 캐시 파일에 대한 안전하지 않은 권한 Bulletin ID: 2026-045-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026년 6월 15일 오전 11:45 PDT설명:Kiro IDE는 AI 에이전트의 도움을 받아 개발자가 실제 엔지니어링 작업을 쉽게 수행할 수 있도록 하는 에이전트 기반 개발 환경입니다.macOS 및 Linux의 Kiro IDE 버전 0.11.133 이전 버전에서 발생한 CVE-2026-11931을 확인했습니다. 이 취약점은 잘못된 기본 권한 설정으로 인해 인증 토큰 캐시 파일이 다른 로컬 사용자 또는 프로세스에 노출될 수 있으며, 이는 소유자 제한 권한(0600) 대신 모든 사용자가 읽을 수 있는 권한(0644)으로 인해 발생합니다.영향받는 버전: < 0.11.133이 AWS 보안 게시판과 관련된 최신 정보 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-11931 - Insecure Permissions on Authentication Token Cache File in Kiro IDE aws.amazon.com
CVE-2026-12043 - AWS Common Runtime aws-c-http의 힙 이중 해제 게시판 ID: 2026-043-AWS 범위: AWS 콘텐츠 유형: 중요(주의 필요) 발행일: 2026년 6월 12일 오전 11:45 PDT 설명: AWS Common Runtime aws-c-http는 AWS SDK가 AWS 서비스에 대한 HTTP 요청을 처리하기 위해 사용하는 HTTP 클라이언트 라이브러리입니다. 우리는 CVE-2026-12043이라는 문제를 확인했는데, 이는 AWS Common Runtime aws-c-http 라이브러리에서 HPACK 동적 테이블 크기 업데이트를 잘못 처리하면 원격 액터가 서버를 운영하는 원격 행위자가 연결된 클라이언트 애플리케이션에 메모리 손상을 일으켜 임의의 코드 실행으로 이어질 수 있는 문제입니다. 이는 HTTP/2 헤더 프레임 시퀀스를 통해 이루어질 수 있습니다. 임팩트 버전: aws-c-http >= 0.4.22 및 <= 0.10.15 다음 SDK 버전에서 노출: - aws-sdk-cpp >= 1.11.41, <= 1.11.814 - aws-sdk-java-v2 >= 2.44.27, <= 2.44.14 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. CVE-2026-12043 - Heap double-free in AWS Common Runtime aws-c-http aws.amazon.com
CVE-2026-10740 - s2n-quic의 과도한 메모리 할당 Bulletin ID: 2026-042-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026년 10월 6일 오전 11시 15분 PDT설명:s2n-quic은 QUIC 프로토콜의 Rust 구현입니다. 저희는 s2n-quic 1.82.0 이전 버전의 CRYPTO 프레임 재조립기에서 발생하는 무제한 메모리 할당 문제인 CVE-2026-10740을 확인했습니다. 인증되지 않은 사용자는 높은 오프셋을 가진 조작된 CRYPTO 프레임을 전송하여 s2n-quic 엔드포인트의 서버 메모리를 고갈시키려고 시도할 수 있습니다. CRYPTO 프레임 처리에 사용되는 버퍼는 최대 크기를 강제하지 않습니다. 최악의 경우, 단일 1200바이트 패킷이 약 9.4MB의 할당을 유발할 수 있습니다. 이러한 패킷을 반복적으로 전송하면 결과적인 메모리 압박으로 인해 서비스 거부가 발생할 수 있습니다. 유효한 핸드셰이크는 필요하지 않습니다.영향을 받는 버전: < v1.82.0이 AWS 보안 공지 관련 최신 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-10740 - Excessive memory allocation in s2n-quic aws.amazon.com
CVE-2026-10740 - s2n-quic의 과도한 메모리 할당 Bulletin ID: 2026-041-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2026년 10월 6일 오전 10:45 PDT설명:AWS CDK (aws-cdk-lib)는 코드로 클라우드 인프라를 정의하고 AWS CloudFormation을 통해 프로비저닝하는 오픈 소스 프레임워크입니다. 저희는 aws-cdk-lib 버전 2.245.0 미만(Windows의 경우 2.246.0 미만)의 NodejsFunction 로컬 번들링 파이프라인에서 OS 명령 주입 문제인 CVE-2026-11417을 식별했습니다. 이 문제는 번들링 속성(externalModules, define, loader, inject 또는 esbuildArgs) 중 하나 이상을 제어하는 행위자가 CDK 툴체인을 실행하는 호스트에서 임의의 명령을 실행할 수 있도록 허용할 수 있습니다. 이 문제는 행위자가 CDK 애플리케이션에서 영향을 받는 번들링 속성 중 하나 이상을 제어해야 합니다.영향을 받는 버전: 2.245.0 미만 (Windows의 경우 2.246.0 미만)이 AWS 보안 공지 관련 최신 정보 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-10740 - Excessive memory allocation in s2n-quic aws.amazon.com
CVE-2026-11393 - AgentCore CLI Bedrock Agent Import에서 부적절한 삼중 따옴표 이스케이핑을 통한 코드 주입 게시판 ID: 2026-040-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026년 6월 8일 오전 11:45 PDT 설명: AWS AgentCore CLI(@aws/agentcore)는 Amazon Bedrock AgentCore에서 에이전트 인프라 수명주기를 관리하기 위한 개발자 도구입니다. 우리는 CVE-2026-11393을 확인했는데, 이 법안에서 파이썬 코드 생성 중 삼중 따옴표 문자의 부적절한 중립화가 같은 AWS 계정 내 인증된 사용자가 "agentcore add agent ‐‐type import" 명령어로 생성된 소스 파일에 임의의 Python 코드를 주입할 수 있습니다. 구체적으로, Bedrock Agent 협력자 협회의 collaborationInstruction 필드가 삼중 따옴표 이스케이핑 대신 단일 인용 이스케이핑을 사용하여 삼중 인용 Python 문서끈으로 보간되었습니다. bedrock:AssociateAgentCollaborator IAM 권한을 가진 사용자는 """가 포함된 collaborationInstruction 값을 만들어 가져오기 에이전트의 생성 main.py 에서 docstring 경계를 벗어날 수 있습니다. 생성된 파일이 이후 실행되면, 개발자의 로컬 머신에서 agentcore dev를 통해, 또는 AgentCore 런타임 환경에서 agentcore 배포 후 agentcore 인보크를 통해 실행되면, 주입된 파이썬은 해당 맥락에서 이용 가능한 자격 증명으로 실행됩니다. 영향을 받는 버전: - @aws/agentcore >= 0.4.0 AND <= 0.14.1 - preview versions >= 0.3.0-preview.7.0 및 <= 1.0.0-preview.8 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. CVE-2026-11393 - Code Injection via Improper Triple-Quote Escaping in AgentCore CLI Bedrock Agent Import aws.amazon.com
CVE-2026-11400 및 CVE-2026-11401 게시판 ID: 2026-039-AWS 범위: AWS 콘텐츠 유형: 중요함 (주의 필요) 출판일: 2026년 6월 25일 오후 12:15 PDT 설명: Amazon Aurora PostgreSQL은 PostgreSQL과 호환되는 완전 관리형 관계형 데이터베이스 엔진입니다. 우리는 AWS Wrappers for Amazon Aurora PostgreSQL의 문제로 인해 권한 승강이 가능해진 rds_superuser 역할로 권한 상향을 허용하는 CVE-2026-11400(JDBC)과 CVE-2026-11401(Go)을 확인했습니다. 저권한이 인증된 사용자는 다른 Amazon 관계 데이터베이스 서비스(RDS) 사용자의 권한으로 실행할 수 있는 맞춤형 함수를 만들 수 있습니다. 영향을 받는 버전: - AWS Advanced JDBC 래퍼 >=3.0.0 및 < 4.0.1 - AWS Advanced Go Wrapper 릴리스 2026-04-06 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. CVE-2026-11400 and CVE-2026-11401 aws.amazon.com
CVE-2026-10584 - Graph Explorer에서 HTTPS에서 HTTP로의 폴백 게시판 ID: 2026-038-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 출판일: 2026년 6월 2일 오후 12:15 PDT 설명: 그래프 익스플로러는 Amazon Neptune과 같은 그래프 데이터베이스의 데이터를 시각화하고 탐색할 수 있는 오픈 소스 애플리케이션입니다. 우리는 CVE-2026-10584를 확인했는데, 특정 상황에서 HTTPS가 활성화되었지만 인증서가 제공되지 않을 때 서버가 조용히 HTTP로 되돌아가 민감한 정보를 명문으로 전송하는 현상을 확인했습니다. 영향을 받은 버전: >= 1.1.0 및 < 3.0.1 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. CVE-2026-10584 - HTTPS Fallback to HTTP in Graph Explorer aws.amazon.com
CVE-2026-10591 - Kiro IDE 실행 민감 경로에 대한 불충분한 파일 쓰기 제한 게시판 ID: 2026-037-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2026년 6월 2일 오전 8시 45분 PDT설명:Kiro는 사용자가 데스크톱에 설치하는 에이전트형 IDE입니다. CVE-2026-10591을 확인했습니다. Kiro IDE 버전 0.11 이전의 파일 쓰기 도구에서 불충분한 액세스 제어 제한은 원격 인증되지 않은 행위자가 실행에 민감한 경로(예: .vscode/tasks.json)에 쓰기를 유발하는 조작된 지시를 통해 임의의 명령을 실행하도록 허용할 수 있으며, 이는 폴더 열기 시 자동 실행을 가능하게 합니다.영향받는 버전: <0.11이 AWS 보안 게시판과 관련된 최신 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-10591 - Kiro IDE Insufficient File Write Restrictions to Execution-Sensitive Paths aws.amazon.com
CVE-2026-9291 - Amazon Braket SDK 작업 결과 처리에서의 안전하지 않은 역직렬화 Amazon Braket SDK에서 심각한 보안 취약점이 발견되었으며, 이는 버전 1.10.0부터 1.116.9까지 영향을 미칩니다. CVE-2026-9291로 식별된 이 취약점은 작업 결과 처리 내의 안전하지 않은 역직렬화 문제와 관련이 있습니다. deserialize_values() 함수는 JSON 파일의 dataFormat 필드를 잘못 신뢰합니다. 이 필드는 pickle.loads()를 사용하여 데이터를 처리할지 여부를 제어합니다. S3 쓰기 액세스 권한이 있는 악의적인 공격자는 이 결함을 악용할 수 있습니다. 그들은 dataFormat 필드를 조작하여 임의 코드 실행을 트리거할 수 있습니다. 구체적으로, 그들은 형식을 pickled_v4로 변경하고 악성 코드를 삽입할 수 있습니다. 이를 통해 원격 인증 사용자는 작업 결과를 처리하는 컴퓨터에서 코드를 실행할 수 있습니다. 이는 양자 작업 출력을 분석하는 시스템의 침해로 이어질 수 있습니다. 사용자에게는 포괄적인 세부 정보를 위해 제공된 기사를 참조할 것을 강력히 권고합니다. 이 중대한 보안 위험을 해결하기 위해 즉각적인 조치가 필요합니다. CVE-2026-9291 - Insecure Deserialization in Amazon Braket SDK Job Results Processing aws.amazon.com
CVE-2026-9255 - Kiro CLI의 Piped Stdin을 통한 무단 도구 실행 Bulletin ID: 2026-035-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2026년 5월 22일 오전 9시 45분 PDT설명:Kiro CLI는 개발자가 AI 모델과 상호 작용하여 코드를 실행하고, 파일을 관리하며, 쉘 명령을 실행할 수 있도록 하는 명령줄 AI 코딩 도우미입니다. 저희는 CVE-2026-9255를 식별했습니다. 이 문제는 도구 권한 부여 프롬프트에서 입력 소스 유효성 검사가 누락되어 로컬 행위자가 stdin을 통해 kiro-cli로 파이프된 콘텐츠를 조작하여 사용자 승인 없이 임의의 도구(쉘 명령 포함)를 실행할 수 있도록 허용할 수 있습니다.영향받는 버전: 1.28.0 이전의 kiro-cli이 AWS 보안 공지 관련 최신 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-9255 - Tool Execution Without Authorization via Piped Stdin in Kiro CLI aws.amazon.com
CVE-2026-9133 - rabbitmq-aws 플러그인에서의 임의 파일 읽기 게시판 ID: 2026-034-AWS 범위: AWS 콘텐츠 유형: 중요(주의 필요) 출판일: 2026년 5월 20일 오후 12:45 PDT 설명: rabbitmq-aws는 시작 시 브로커 설정에서 AWS ARN을 해결하고, AWS 서비스(Secrets Manager, S3, ACM Private CA)에서 비밀(예: TLS 인증서, 개인 키, 비밀번호)을 가져오고 이를 RabbitMQ에 메모리 내에 전달하는 RabbitMQ 플러그인입니다. 우리는 플러그인의 ARN 리졸버에서 활성 디버그 코드 문제인 CVE-2026-9133을 확인했습니다. PUT /api/aws/arn/validate 검증 엔드포인트에서 수락되는 디버깅 ARN 방식(arn:aws-debug:file)은 원격 인증된 사용자가 RabbitMQ 프로세스에 접근 가능한 모든 파일에 대해 임의의 파일 읽기를 수행할 수 있게 할 수 있습니다. 디버그 코드는 실수로 운영 빌드에 배포되었고, 비활성화할 수 있는 메커니즘이 없었습니다. 영향을 받은 버전: >=0.1.0, <=0.2.0 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. CVE-2026-9133 - Arbitrary file read in rabbitmq-aws plugin aws.amazon.com
CVE-2026-8838 - amazon-redshift-python-driver에서의 원격 코드 실행 Bulletin ID: 2026-033-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026년 5월 18일 오후 1시 45분 PDT설명:amazon-redshift-python-driver는 Amazon Redshift의 공식 Python 커넥터입니다. 버전 2.1.13 이하에서 코드 삽입 문제가 발견되었으며, 이는 악의적인 서버 또는 중간자 공격자가 클라이언트에서 임의의 코드를 실행할 수 있도록 허용할 수 있습니다.영향받는 버전: <=2.1.13이 AWS 보안 공지 사항과 관련된 최신 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-8838 - Remote Code Execution in amazon-redshift-python-driver aws.amazon.com
CVE-2026-8686 - coreMQTT MQTT5 속성 파싱에서의 힙 경계 외부 읽기 Bulletin ID: 2026-032-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2026년 5월 15일 오전 11:45 PDT설명:coreMQTT는 임베디드 장치를 위한 경량 MQTT 클라이언트 라이브러리입니다. CVE-2026-8686을 확인했으며, 이는 coreMQTT 5.0.1 이전 버전에서 MQTT v5.0 SUBACK 및 UNSUBACK 속성 파서에 경계 유효성 검사가 누락되어 MQTT 브로커가 조작된 패킷을 전송하여 서비스 거부(힙 경계 초과 읽기로 인한 충돌)를 유발할 수 있는 문제입니다.영향을 받는 버전: v5.0.0이 AWS 보안 공지 관련 최신 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-8686 - Heap out-of-bounds read in coreMQTT MQTT5 property parsing aws.amazon.com
Amazon SageMaker Python SDK 문제 - 모델 아티팩트 무결성 검증 문제 (CVE-2026-8596 & CVE-2026-8597) 이 보안 공지는 모델 배포에 영향을 미치는 Amazon SageMaker Python SDK의 취약점을 다룹니다. SDK의 ModelBuilder 컴포넌트는 모델 배포를 간소화하지만, 약점을 포함하고 있습니다. 두 가지 치명적인 취약점이 식별되었으며, CVE-2026-8596 및 CVE-2026-8597로 분류됩니다. CVE-2026-8596은 HMAC 서명 키의 안전하지 않은 저장 및 노출과 관련이 있습니다. 이 키는 일반 텍스트로 저장되며 SageMaker describe API를 통해 접근 가능합니다. 공격자는 이를 악용하여 서명을 위조하고 추론 컨테이너에서 악성 코드를 실행할 수 있습니다. CVE-2026-8597은 Triton 추론 핸들러의 무결성 검증 부족을 강조합니다. 이 결함은 검증 없이 모델 아티팩트의 역직렬화를 허용하여 조작된 pickle 페이로드를 통해 코드 실행을 가능하게 합니다. 영향을 받는 버전은 SageMaker Python SDK의 특정 범위, 즉 버전 2.199.0부터 2.257.1까지 및 3.0.0부터 3.7.1까지입니다. 이러한 취약점은 SageMaker 환경 내에서 원격 코드 실행으로 이어질 수 있습니다. 이는 승인되지 않은 사용자가 잠재적으로 명령을 실행하고 모델 무결성을 손상시킬 수 있음을 의미합니다. 사용자는 자세한 수정 단계를 위해 연결된 보안 공지를 참조해야 합니다. 이 공지는 이러한 치명적인 보안 문제를 신속하게 해결하는 것의 중요성을 강조합니다. Issue with Amazon SageMaker Python SDK - Model artifact integrity verification issues (CVE-2026-8596 &: CVE-2026-8597) aws.amazon.com
Linux 커널의 ESP-in-TCP를 통한 Fragnesia 로컬 권한 상승 보고서 게시판 ID: 2026-029-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2026년 5월 13일 오후 6:45 PDT이것은 진행 중인 문제입니다. 정보는 변경될 수 있습니다. 가장 최신 패치 정보는 보안 게시판(ID: 2026-030-AWS)을 참조하십시오.설명:Amazon은 Linux 커널에서 DirtyFrag, copy.fail 클래스 문제(CVE-2026-43284)와 관련된 추가 권한 상승 문제에 대한 보고인 CVE-2026-46300을 인지하고 있습니다. 개념 증명은 로드 가능한 모듈 espintcp를 통한 벡터를 사용합니다. Amazon Linux는 이 모듈을 제공하지 않으며 영향을 받지 않습니다.심층 방어로서, 우리는 이 동작에 의존하는 네트워크 프로토콜 구현에서 발생할 수 있는 유사한 문제에 대해 강화하기 위해 핵심 네트워킹 코드에 정확성 패치를 포함할 것입니다. Fragnesia Local Privilege Escalation report via ESP-in-TCP in the Linux Kernel aws.amazon.com
Copy.fail 및 변형 버전에서 지속적인 업데이트 Bulletin ID: 2026-030-AWS Scope: AWS Content Type: Important (requires attention) Publication Date: 2026년 5월 13일 오후 10:00 PDT이것은 진행 중인 문제입니다. 더 많은 정보가 제공되는 대로 이 게시판은 업데이트될 것입니다.설명:AWS는 Linux Kernel에 영향을 미치는 권한 상승 문제 집합인 copy.fail 또는 DirtyFrag 클래스의 문제를 인지하고 있습니다. 더 많은 정보가 제공되는 대로 이 게시판을 업데이트할 것입니다.Copy.fail 커널 문제 및 모든 변형과 관련된 영향을 받는 서비스에 대한 현재 패치 타임라인은 아래를 참조하십시오. AWS는 고객이 이러한 문제를 해결하는 모든 업데이트를 가능한 한 빨리 적용할 것을 권장합니다.자세한 내용은 Security Bulletin (ID: 2026-030-AWS)을 참조하십시오. Ongoing updates on Copy.fail and variants aws.amazon.com
CVE-2026-8178 - Amazon Redshift JDBC 드라이버의 안전하지 않은 클래스 로딩을 통한 원격 코드 실행 게시판 ID: 2026-028-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026/05/08 오전 11:30 PDT설명:Amazon Redshift JDBC Driver는 표준 JDBC 애플리케이션 프로그래밍 인터페이스(API)를 통해 데이터베이스 연결을 제공하는 Type 4 JDBC 드라이버입니다. Amazon Redshift JDBC Driver 버전 2.2.2 이전 버전에서 문제가 발견되었습니다. 특정 조건 하에서 드라이버는 JDBC 연결 URL 매개변수를 처리할 때 임의의 클래스를 로드하고 실행할 수 있었습니다. 연결 URL에 영향을 줄 수 있는 행위자는 애플리케이션 컨텍스트에서 코드를 잠재적으로 실행할 수 있었습니다.영향을 받는 버전: Amazon Redshift JDBC Driver < 2.2.2이 AWS 보안 게시판과 관련된 최신 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-8178 - Remote Code Execution via Unsafe Class Loading in Amazon Redshift JDBC Driver aws.amazon.com
Amazon Linux 커널의 Dirty Frag 및 기타 문제 "Bulletin ID: 2026-027-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026/05/07 오후 7:45 PDT설명:Amazon은 원래 문제(CVE-2026-31431)와 관련된 Linux 커널의 일련의 문제점을 인지하고 있습니다. 일반적으로 "DirtyFrag"라고 불리는 이 문제점들은 xfrm_user/esp4/esp6 및 ipcomp4/ipcomp6를 포함한 여러 로드 가능한 모듈에 존재합니다. 권한 없는 사용자가 직접 또는 CAP_NET_ADMIN을 통해 소켓을 생성할 수 있거나, 권한 없는 사용자 네임스페이스(user+net) 생성을 허용하는 시스템에서는 공격자가 커널 메모리에 접근하여 권한을 상승시킬 수 있습니다.이 AWS 보안 공지 관련 최신 및 전체 정보는 아래 기사를 참조하십시오." Dirty Frag and other issues in Amazon Linux kernels aws.amazon.com
CVE-2026-31431 Bulletin ID: 2026-026-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2026/05/06 오후 5:30 PDT설명:Amazon은 Linux 커널(CVE-2026-31431)의 문제점을 인지하고 있으며, 이는 인증된 로컬 사용자가 권한을 상승시킬 수 있는 잠재적인 가능성을 가지고 있습니다.아래에 나열된 서비스를 제외하고 AWS 고객은 영향을 받지 않습니다. 영향을 받는 서비스에 대한 구체적인 지침은 아래를 참조하십시오. AWS는 모범 사례로 모든 보안 패치 및 소프트웨어 버전 업데이트를 가능한 한 빨리 적용할 것을 권장합니다.이 AWS 보안 공지 관련 최신 정보 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-31431 aws.amazon.com
CVE-2026-7791 - Amazon WorkSpaces Skylight Agent의 TOCTOU Race Condition을 통한 로컬 권한 상승 Bulletin ID: 2026-025-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026/05/04 15:30 PM PDT설명:Amazon Skylight Workspace Config Service (slwsconfigservice)는 시스템 구성을 관리하고, 상태를 모니터링하며, 구성 요소를 업데이트하는 Amazon WorkSpaces 내의 중요한 백그라운드 서비스입니다. 저희는 CVE-2026-7791을 식별했으며, 이는 로컬 비관리자 인증 사용자가 Skylight Workspace Config Service의 로그 파일 아카이브 프로세스에서 경쟁 조건을 악용하여 SYSTEM으로 권한을 상승시킬 수 있도록 합니다.영향을 받는 버전: Windows Amazon Skylight Workspace Config Service (slwsconfigservice) 버전 < 2.6.2034.0이 AWS 보안 공지 관련 최신 및 전체 정보는 아래 기사를 참조하십시오. CVE-2026-7791 - Local Privilege Escalation via TOCTOU Race Condition in Amazon WorkSpaces Skylight Agent aws.amazon.com
CVE-2026-7461 - FSx Windows File Server 볼륨 자격 증명을 통한 Amazon ECS Agent의 OS 명령 주입 Bulletin ID: 2026-024-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026/04/30 오후 1:30 PDT설명:Amazon Elastic Container Service (Amazon ECS)는 고객이 컨테이너화된 애플리케이션을 배포, 관리 및 확장할 수 있도록 지원하는 완전 관리형 컨테이너 오케스트레이션 서비스입니다. Amazon ECS 에이전트는 Windows EC2 인스턴스의 태스크 정의에서 FSx for Windows File Server 볼륨을 마운트하는 것을 지원합니다. 저희는 FSx 볼륨 마운트에서의 명령 주입 문제인 CVE-2026-7461을 식별했으며, 이는 ECS 태스크 정의에서 특별히 제작된 자격 증명을 통해 SYSTEM 권한으로 코드 실행을 가능하게 합니다.영향받는 버전: Windows용 ECS 에이전트 버전 1.47.0부터 1.102.2까지이 AWS 보안 공지사항과 관련된 최신 정보 및 전체 내용은 아래 기사를 참조하십시오. CVE-2026-7461 - OS Command Injection in Amazon ECS Agent via FSx Windows File Server Volume Credentials aws.amazon.com
FreeRTOS-Plus-TCP - IPv6 라우터 광고 메모리 안전 문제 게시판 ID: 2026-023-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026/04/29 오후 12:30 PDT 설명: FreeRTOS-Plus-TCP는 FreeRTOS를 위해 설계된 오픈 소스 TCP/IP 스택 구현체로, 표준 버클리 소켓 인터페이스와 IPv6, ARP, DHCP, DNS, 라우터 광고(RA) 등 필수 네트워킹 프로토콜을 지원합니다. 우리는 CVE-2026-7425와 CVE-2026-7426을 확인했는데, 이 중 하나는 각각 경계 밖 읽기, 다른 하나는 IPv6 라우터 광고 옵션 파서에서 길이 필드 검증이 부족해 적절한 경계 검사 없이 메모리 작업이 이루어지는 쓰기 문제입니다. 이 두 문제 모두 로컬 네트워크 내 어떤 장치든 제작된 라우터 광고 패킷을 전송할 수 있어 악용될 수 있습니다. 인증이나 사용자 상호작용이 필요하지 않습니다. 영향을 받은 버전: >=V4.0.0 AND <=V4.2.5, >=V4.3.0 AND <=V4.4.0 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. Issue with FreeRTOS-Plus-TCP - IPv6 Router Advertisement Memory Safety Issues aws.amazon.com
CVE-2026-7424 - FreeRTOS-Plus-TCP의 DHCPv6 하위 옵션 파서에서의 정수 언더플로우 게시판 ID: 2026-022-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 출판일: 2026/04/29 오후 12:20 PDT 설명: FreeRTOS-Plus-TCP는 FreeRTOS용 오픈 소스, 확장 가능한 TCP/IP 스택입니다. 우리는 CVE-2026-7424를 확인했는데, 여기서 DHCPv6 하위 옵션 파서의 정수 언더플로우 문제가 인접한 네트워크 사용자가 장치의 IPv6 주소 할당, DNS 구성, 임대 시간을 손상시켜 서비스 거부(IP 작업 정지, 하드웨어 초기화 필요)를 일으킬 수 있습니다. 영향을 받은 버전: FreeRTOS-Plus-TCP >=V4.0.0 AND <=V4.2.5, >=V4.3.0 AND <= V4.4.0 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. CVE-2026-7424 - Integer Underflow in DHCPv6 Sub-Option Parser in FreeRTOS-Plus-TCP aws.amazon.com
FreeRTOS-Plus-TCP 관련 문제 - MAC 주소 유효성 검사 우회 및 ICMP Echo Reply 정수 언더플로우 게시판 ID: 2026-021-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 출판일: 2026/04/29 오후 12:00 PDT 설명: FreeRTOS-Plus-TCP는 FreeRTOS용 확장 가능하고 오픈 소스이며 스레드 안전한 TCP/IP 스택입니다. - CVE-2026-7422: IPv4 및 IPv6 수신 경로에서 패킷 검증이 불충분하면, 인접 네트워크 장치가 이더넷 소스 MAC 주소를 스푸핑하여 체크섬과 최소 크기 검증을 우회하는 패킷을 보낼 수 있습니다. - CVE-2026-7423: ICMP와 ICMPv6 에코 응답 처리기의 정수 언더플로우는 출력 핑 지원이 활성화되었을 때 인접한 네트워크 장치가 서비스 거부(장치 충돌)를 일으킬 수 있게 하는데, 이는 헤더 크기가 패킷 길이 필드에서 충분히 크지 않다는 검증 없이 빼져 힙 경계 밖 읽기를 초래합니다. 영향을 받은 버전: >=V4.0.0 AND <=V4.2.5, >=V4.3.0 AND <=V4.4.0 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. Issue with FreeRTOS-Plus-TCP - MAC Address Validation Bypass and ICMP Echo Reply Integer Underflow aws.amazon.com
CVE-2026-7191 - AWS QnABot에서 샌드박스 우회를 통한 임의 코드 실행 공지 ID: 2026-020-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026년 4월 27일 오후 1시 15분 PDT설명:AWS의 QnABot은 Amazon Lex, Amazon OpenSearch Service, 그리고 선택적으로 Amazon Bedrock을 기반으로 하는 다중 채널, 다국어 대화형 인터페이스를 제공하는 오픈 소스 솔루션입니다.저희는 CVE-2026-7191을 확인했습니다. 이는 static-eval npm 패키지의 부적절한 사용으로 인해 인증된 관리자가 fulfillment Lambda 실행 컨텍스트 내에서 임의의 코드를 실행할 수 있게 하는 취약점입니다. Content Designer 인터페이스를 통해 조작된 조건부 체이닝 표현식을 주입함으로써, 관리자 권한을 가진 공격자는 JavaScript 프로토타입 조작을 통해 의도된 표현식 샌드박스를 우회할 수 있습니다. 성공적인 악용은 일반적인 관리 인터페이스를 통해 노출되지 않는 Lambda 환경 변수, OpenSearch 인덱스, S3 객체, DynamoDB 테이블을 포함한 백엔드 리소스에 직접 접근할 수 있게 할 수 있습니다.영향을 받는 버전: <=7.2.4이 AWS 보안 공지와 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오. CVE-2026-7191- Arbitrary Code Execution via Sandbox Bypass in QnABot on AWS aws.amazon.com
Tough 라이브러리와 Tuftool CLI 유틸리티의 문제점 2026년 4월 24일에 발표된 이 AWS 보안 게시물은 "tough" 라이브러리와 "tuftool" CLI 유틸리티의 취약점을 다룹니다. CVE-2026-6966, CVE-2026-6967, CVE-2026-6968로 식별된 여러 보안 문제가 발견되었습니다. 영향을 받는 버전은 "tough" 버전 0.1.0부터 0.21.x까지, "tuftool" 버전 0.1.0부터 0.14.x까지입니다. 사용자들은 자세한 내용과 필요한 해결 단계를 위해 제공된 기사를 검토하는 것이 좋습니다. Issues in tough library and tuftool CLI utility aws.amazon.com
AWS Ops Wheel (CVE-2026-6911 및 CVE-2026-6912) 관련 문제 게시판 ID: 2026-018-AWS 범위: AWS 콘텐츠 유형: 중요(주의 필요) 게시 날짜: 2026/04/24 오전 9시 15분 PDT설명:AWS Ops Wheel은 가상 회전 휠을 사용하여 팀이 무작위로 선택하는 데 도움이 되는 오픈 소스 도구로, CloudFormation을 통해 고객 AWS 계정에 배포됩니다.CVE-2026-6911은 v2 API에서 JWT 토큰 서명 검증이 적용되지 않은 문제와 관련이 있습니다. CVE-2026-6912는 v2 Cognito 사용자 풀 구성에서 속성 쓰기 권한이 불충분하게 제한된 문제와 관련이 있습니다.영향을 받는 버전: AWS Ops Wheel v2 배포 PR-163 이하이 AWS 보안 게시판과 관련된 최신 정보 및 전체 정보는 아래 기사를 참조하십시오. Issue with AWS Ops Wheel (CVE-2026-6911 and CVE-2026-6912 aws.amazon.com
CVE-2026-6550 - AWS 암호화 SDK for Python에서 공유 키 캐시를 통한 키 커밋먼트 정책 우회 게시판 ID: 2026-017-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 게시 날짜: 2026년 4월 20일 오후 12:45 PDT설명:Python용 AWS 암호화 SDK(ESDK)는 클라이언트 측 암호화 라이브러리입니다. 공유 키 캐시를 통한 키 커밋 정책 우회와 관련된 문제인 CVE-2026-6550을 확인했습니다.Amazon AWS Encryption SDK for Python 버전 3.3.1 이전 및 4.0.5 이전 버전의 캐싱 계층에서 암호화 알고리즘 다운그레이드는 인증된 로컬 위협 행위자가 공유 키 캐시를 통해 키 커밋 정책 적용을 우회할 수 있도록 하여, 여러 다른 평문으로 복호화될 수 있는 암호문이 생성될 수 있습니다.영향을 받는 버전: - 2.0부터 2.5.1까지 - 3.0부터 3.3.0까지 - 4.0부터 4.0.4까지이 AWS 보안 게시판과 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오. CVE-2026-6550 - Key commitment policy bypass via shared key cache in AWS Encryption SDK for Python aws.amazon.com
CVE-2026-6437 - Amazon EFS CSI 드라이버의 마운트 옵션 주입 공지 ID: 2026-016-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026/04/17 오전 11:15 PDT설명:Amazon EFS CSI 드라이버는 Kubernetes 클러스터가 Amazon Elastic File System을 사용할 수 있도록 하는 컨테이너 스토리지 인터페이스 드라이버입니다.CVE-2026-6437을 확인했습니다. 이 취약점은 PersistentVolume 생성 권한을 가진 공격자가 두 개의 검증되지 않은 필드(volumeHandle의 Access Point ID 및 mounttargetip volumeAttribute)를 통해 임의의 마운트 옵션을 주입할 수 있게 합니다. 두 경우 모두 쉼표로 구분된 값을 추가하면 마운트 유틸리티가 이를 별도의 마운트 옵션으로 파싱합니다.AWS 서비스는 영향을 받지 않습니다.영향을 받는 버전: EFS CSI 드라이버 <&equal; v3.0.0이 AWS 보안 공지와 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오. CVE-2026-6437 - Mount Option Injection in Amazon EFS CSI Driver aws.amazon.com
CVE-2026-5747 - Firecracker virtio-pci 전송 계층의 경계 외 쓰기 게시판 ID: 2026-015-AWS 범위: AWS 콘텐츠 유형: 중요(주의 필요) 발행일: 2026/04/07 오후 15:30 PDT 설명: 파이어크래커는 안전한 다중 테넌트 컨테이너 및 기능 기반 서비스를 생성하고 관리하기 위해 특별히 설계된 오픈 소스 가상화 기술입니다. 우리는 Firecracker 1.13.0부터 1.14.3, 그리고 x86_64 및 aarch64의 virtio PCI 전송에서 발생하는 경계 밖 쓰기 문제인 CVE-2026-5747을 확인했으며, 이는 루트 권한을 가진 로컬 게스트 사용자가 Firecracker VMM 프로세스를 충돌시키거나, 장치 활성화 후 virtio 큐 설정 레지스터를 수정하여 호스트에서 임의의 코드를 실행할 수 있는 가능성을 허용합니다. 호스트에서 코드 실행을 달성하려면 맞춤형 게스트 커널이나 특정 스냅샷 구성 같은 추가 전제 조건이 필요합니다. AWS 서비스는 영향을 받지 않습니다. 영향을 받은 버전: 파이어크래커 >= 1.13.0 및 <= 1.14.3 및 1.15.0 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다. CVE-2026-5747 - Out-of-bounds Write in Firecracker virtio-pci Transport aws.amazon.com
AWS 연구 및 엔지니어링 스튜디오 (RES) 관련 문제점 공지 ID: 2026-014-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026/04/06 14:00 PM PDT설명:AWS의 연구 및 엔지니어링 스튜디오 (RES)는 관리자가 안전한 클라우드 기반 연구 및 엔지니어링 환경을 생성하고 관리할 수 있도록 설계된 오픈 소스 웹 포털입니다. AWS 연구 및 엔지니어링 스튜디오 (RES)에서 다음과 같은 문제를 확인했습니다.- CVE-2026-5707: AWS 연구 및 엔지니어링 스튜디오 (RES) 버전 2025.03부터 2025.12.01까지의 가상 데스크톱 세션 이름 처리에서 OS 명령에 대한 위생 처리되지 않은 입력으로 인해 원격 인증된 공격자가 조작된 세션 이름을 통해 가상 데스크톱 호스트에서 root 권한으로 임의의 명령을 실행할 수 있습니다.- CVE-2026-5708: 버전 2026.03 이전의 AWS 연구 및 엔지니어링 스튜디오 (RES)의 세션 생성 구성 요소에서 사용자 수정 가능 속성에 대한 부적절한 제어로 인해 인증된 원격 사용자가 권한을 상승시키고 조작된 API 요청을 통해 가상 데스크톱 호스트 인스턴스 프로필 권한을 가정하고 다른 AWS 리소스 및 서비스와 상호 작용할 수 있습니다.- CVE-2026-5709: AWS 연구 및 엔지니어링 스튜디오 (RES) 버전 2024.10부터 2025.12.01까지의 FileBrowser API에서 위생 처리되지 않은 입력으로 인해 원격 인증된 공격자가 FileBrowser 기능을 사용할 때 조작된 입력을 통해 클러스터 관리자 EC2 인스턴스에서 임의의 명령을 실행할 수 있습니다.영향을 받는 버전: <= 2025.12.01이 AWS 보안 공지와 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오. Issues with AWS Research and Engineering Studio (RES) aws.amazon.com
Amazon Athena ODBC 드라이버 관련 문제 이 아마존 보안 공지는 Windows, Linux, Mac에서 C/C++ 애플리케이션이 Amazon Athena에 접근할 수 있도록 해주는 Amazon Athena ODBC 드라이버에서 발견된 중요한 취약점에 대해 자세히 설명합니다. 이 드라이버는 표준 ODBC API를 구현합니다. OS 명령 주입부터 부적절한 인증서 검증 및 불충분한 인증 제어까지, 6개의 CVE가 식별되었습니다. 구체적으로, OS 명령 주입 결함인 CVE-2026-5485는 Linux 시스템에만 영향을 미쳤으며 버전 2.0.5.1에서 해결되었습니다. 나머지 5개의 취약점인 CVE-2026-35558부터 CVE-2026-35562까지는 지원되는 모든 플랫폼에 영향을 미쳤습니다. 이러한 나머지 문제에는 특수 요소의 부적절한 무력화, 경계 밖 쓰기 오류, 부적절한 인증서 검증, 불충분한 인증 제어 및 제한 없는 리소스 할당이 포함되었습니다. 이 5가지 광범위한 취약점은 Amazon Athena ODBC 드라이버 버전 2.1.0.0에서 성공적으로 해결되었습니다. 사용자들은 이러한 보안 위험을 완화하기 위해 패치된 버전으로 드라이버를 업데이트할 것을 강력히 권장합니다. 제공된 기사를 참조하면 이 보안 공지에 대한 최신 및 포괄적인 정보를 얻을 수 있습니다. Issues with Amazon Athena ODBC Driver aws.amazon.com
CVE-2026-5429 - Kiro IDE 웹뷰 워크스페이스 색상 테마를 통한 사이트 간 스크립팅 공지 ID: 2026-012-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026/04/02 오전 11:30 PDT설명:Kiro IDE는 AI 에이전트의 도움을 받아 개발자가 실제 엔지니어링 작업을 쉽게 배포할 수 있도록 돕는 에이전트 기반 개발 환경입니다.저희는 CVE-2026-5429를 확인했습니다. 이는 Kiro IDE 0.8.140 이전 버전의 Kiro Agent 웹뷰에서 웹 페이지 생성 중 위생 처리되지 않은 입력으로 인해, 로컬 사용자가 워크스페이스를 열 때 악의적으로 조작된 색상 테마 이름을 통해 원격 인증되지 않은 위협 행위자가 임의 코드를 실행할 수 있도록 허용하는 취약점입니다. 이 문제는 사용자에게 프롬프트가 표시될 때 워크스페이스를 신뢰하도록 요구합니다.영향을 받는 버전: < 0.8.140이 AWS 보안 공지와 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오. CVE-2026-5429 - Kiro IDE Webview Cross-Site Scripting via Workspace Color Theme aws.amazon.com
CVE-2026-5190 - AWS C 이벤트 스트림 스트리밍 디코더 스택 버퍼 오버플로우 AWS는 AWS Common Runtime 라이브러리의 event-stream 디코더 구성 요소에서 심각한 취약점인 CVE-2026-5190을 발견했습니다. 이 결함은 악성 서버가 특수하게 조작된 event-stream 메시지를 처리하는 클라이언트 애플리케이션에서 메모리 손상 및 임의 코드 실행을 유발할 수 있습니다. 이 취약점은 aws-c-event-stream 버전 0.6.0 이전 버전과 event-stream 기능을 노출하는 여러 상위 수준의 AWS SDK에 영향을 미칩니다. 사용자는 이 위험을 완화하기 위해 가능한 한 빨리 영향을 받는 라이브러리의 지정된 패치된 버전으로 업데이트할 것을 권장합니다. 이 보안 공지에 대한 포괄적이고 최신 정보는 공식 AWS 문서를 참조하십시오. CVE-2026-5190 - AWS C Event Stream Streaming Decoder Stack Buffer Overflow aws.amazon.com
CVE-2026-4428: AWS-LC의 CRL 배포 지점 범위 확인 로직 오류 AWS는 자사의 암호화 라이브러리인 AWS-LC의 취약점에 대한 보안 공지를 발표했습니다. CVE-2026-4428로 식별된 이 취약점은 X.509 인증서 검증 프로세스에 영향을 미칩니다. 이는 AWS-LC의 CRL 배포 지점 매칭 메커니즘 내의 논리 오류에서 비롯됩니다. 이 오류는 특정 시나리오에서 해지된 인증서가 해지 확인을 우회할 수 있게 합니다. 이 취약점은 애플리케이션 내에서 CRL 확인이 활성화된 경우에 발생합니다. 특히, 발급 배포 지점(IDP) 확장을 통합한 분할 CRL을 사용하는 애플리케이션에 영향을 미칩니다. 따라서 CRL 확인을 사용하지 않는 애플리케이션은 이 문제에 취약하지 않습니다. 또한, IDP 확장이 없는 완전한 비분할 CRL을 사용하는 애플리케이션도 안전합니다. AWS-LC-FIPS를 포함한 AWS-LC 및 관련 구성 요소의 영향을 받는 버전은 공지에 자세히 설명되어 있습니다. 사용자는 포괄적인 세부 정보와 최신 업데이트를 위해 제공된 기사를 참조하는 것이 좋습니다. 이 보안 공지는 중요 등급으로 분류되며 영향을 받는 사용자의 주의가 필요합니다. 이 공지는 2026년 3월 19일에 게시되었습니다. CVE-2026-4428: Issues with AWS-LC - CRL Distribution Point Scope Check Logic Error aws.amazon.com
Kiro IDE에서 조작된 프로젝트 파일을 통한 임의 코드 실행 공지 ID: 2026-009-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026년 3월 17일 오후 12시 15분 (PDT)설명:Kiro는 에이전트 기반 소프트웨어 개발을 위한 AI 기반 IDE입니다. 저희는 CVE-2026-4295를 확인했으며, 이는 사용자가 악의적으로 제작된 프로젝트 디렉토리를 열었을 때 부적절한 신뢰 경계 설정으로 인해 임의 코드 실행이 가능하게 되는 취약점입니다.영향을 받는 버전: < 0.8.0이 AWS 보안 공지에 대한 최신 정보와 전체 내용은 아래 기사를 참조하십시오. Arbitrary code execution via crafted project files in Kiro IDE aws.amazon.com
CVE-2026-4269 - Bedrock AgentCore Starter Toolkit에서 S3 소유권 검증 부적절 공지 ID: 2026-008-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026년 3월 16일 오전 11시 15분 (PDT)설명:v0.1.13 이전 버전의 Bedrock AgentCore Starter Toolkit에서 S3 소유권 검증이 누락되어 원격 공격자가 빌드 프로세스 중에 코드를 주입하여 AgentCore 런타임에서 코드 실행이 발생할 수 있습니다.영향을 받는 버전: v0.1.13 이전 버전의 Bedrock AgentCore Starter Toolkit의 모든 버전. 이 문제는 2025년 9월 24일 이후에 Toolkit을 빌드한 v0.1.13 이전 버전의 Bedrock AgentCore Starter Toolkit 사용자에게만 영향을 미칩니다. v0.1.13 이상 버전의 사용자 및 2025년 9월 24일 이전에 Toolkit을 빌드한 이전 버전의 사용자는 영향을 받지 않습니다.이 AWS 보안 공지와 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오. CVE-2026-4269 - Improper S3 ownership verification in Bedrock AgentCore Starter Toolkit aws.amazon.com
CVE-2026-4270 - AWS API MCP 파일 액세스 제한 우회 이 AWS 보안 게시판(ID 2026-007)은 AWS와의 AI 어시스턴트 상호 작용을 지원하는 오픈 소스 도구인 AWS API MCP 서버에 관한 것입니다. MCP 서버는 AWS CLI 명령을 사용하여 사용자가 프로그래밍 방식으로 AWS 리소스를 관리할 수 있도록 합니다. 구성 가능한 파일 액세스 기능은 작업 디렉터리, 무제한, 액세스 금지 등의 옵션을 사용하여 로컬 파일 시스템과의 CLI 상호 작용을 제어합니다. 0.2.14~1.3.8 버전의 파일 액세스 제한에서 CVE-2026-4270 취약점이 발견되었습니다. 이 취약점으로 인해 의도된 파일 액세스 제한을 우회할 수 있습니다. 특히, 이 취약점은 '접근 금지' 및 '작업 디렉터리' 구성에 영향을 미쳐 임의의 로컬 파일 내용이 노출될 수 있습니다. 이 취약점은 잠재적으로 민감한 정보를 노출시켜 보안 위험을 초래합니다. 영향을 받는 awslabs.aws-api-mcp-server의 버전은 >= 0.2.14 및 < 1.3.9입니다. 사용자는 제공된 문서를 참조하여 포괄적인 세부 사항과 해결 방법을 확인해야 합니다. 이 공지는 잠재적인 보안 영향이 있으므로 즉각적인 주의가 필요합니다. 이 공지의 게시일은 2026년 3월 16일입니다. CVE-2026-4270 - AWS API MCP File Access Restriction Bypass aws.amazon.com
MariaDB 서버 감사 플러그인 주석 처리 우회 게시판 ID: 2026-006-AWS 범위: AWS 콘텐츠 유형: 정보 게시일: 2026/03/03 오전 10:15 PST설명:Amazon RDS/Aurora는 관리형 관계형 데이터베이스 서비스입니다. CVE-2026-3494를 확인했습니다. MariaDB 서버 버전 11.8.5까지, 서버 감사 플러그인이 활성화되고 server_audit_events 변수가 QUERY_DCL, QUERY_DDL 또는 QUERY_DML 필터링으로 구성된 경우, 인증된 데이터베이스 사용자가 이중 하이픈(--) 또는 해시(#) 스타일 주석으로 시작하는 SQL 문을 호출하면 해당 문이 로깅되지 않습니다.영향을 받는 버전:- MariaDB 서버 (10.6.24 및 이전, 10.11.15 및 이전, 11.4.9 및 이전, 11.8.5 및 이전) - Amazon Aurora MySQL (2.12.5 및 이전, 3.01.0 ~ 3.04.5, 3.05.1 ~ 3.10.2, 3.11.0) - Amazon RDS for MySQL (5.7.44-RDS.20251212 및 이전, 8.0.11 ~ 8.0.44, 8.4.3 ~ 8.4.7) - Amazon RDS for MariaDB (10.6.24 및 이전, 10.11.4 ~ 10.11.15, 11.4.3 ~ 11.4.9, 11.8.3 ~ 11.8.5)이 AWS 보안 게시판과 관련된 최신 및 완전한 정보는 아래 문서를 참조하십시오. MariaDB Server Audit Plugin Comment Handling Bypass aws.amazon.com
AWS-LC 관련 문제: 오픈 소스 범용 암호화 라이브러리 (CVE-2026-3336, CVE-2026-3337, CVE-2026-3338) AWS는 자사의 오픈 소스 암호화 라이브러리인 AWS-LC와 관련하여 중요한 보안 공지를 발표했습니다. 라이브러리 내에서 세 가지 심각한 취약점이 발견되었습니다. 첫 번째 취약점인 CVE-2026-3336은 PKCS7_verify 함수에서 인증서 체인 검증 우회와 관련이 있습니다. 이 결함은 권한 없는 사용자가 여러 서명자가 있는 PKCS7 객체를 처리할 때 검증을 우회할 수 있도록 합니다. 두 번째 취약점인 CVE-2026-3337은 AES-CCM 태그 검증 시 타이밍 사이드 채널과 관련이 있습니다. 이 취약점은 공격자가 복호화 과정에서 타이밍 분석을 통해 태그 유효성을 파악할 수 있도록 합니다. 세 번째 취약점인 CVE-2026-3338은 PKCS7_verify 내의 서명 검증 우회입니다. 이는 공격자가 인증된 속성을 특징으로 하는 PKCS7 객체를 처리할 때 서명 검증을 우회할 수 있도록 합니다. 이러한 취약점은 FIPS 호환 버전을 포함하여 AWS-LC 및 aws-lc-sys의 다양한 버전에 영향을 미칩니다. 영향을 받는 버전은 각 취약점에 대해 공지에 명시되어 있습니다. 사용자는 영향을 받는 버전의 전체 목록을 확인하기 위해 공지를 확인해야 합니다. 공지에서는 자세한 정보와 최신 업데이트를 위해 제공된 기사를 참조할 것을 권장합니다. 이러한 보안 문제를 해결하기 위한 조치가 필요합니다. Issue with AWS-LC: an open-source, general-purpose cryptographic library (CVE-2026-3336, CVE-2026-3337, CVE-2026-3338) aws.amazon.com
SageMaker Python SDK의 보안 발견 AWS는 SageMaker Python SDK 내 두 가지 취약점에 대한 보안 공지를 발표했습니다. 첫 번째 취약점인 CVE-2026-1777은 데이터 무결성을 보호하는 데 사용되는 노출된 HMAC 키와 관련이 있습니다. 이 키는 환경 변수에 저장되어 DescribeTrainingJob API를 통해 공개됩니다. DescribeTrainingJob 권한을 가진 공격자는 이 키를 추출하여 데이터를 조작하고 S3 객체를 덮어쓸 수 있습니다. 영향을 받는 버전은 SDK의 v2 및 v3 버전 내 특정 빌드입니다. 두 번째 취약점인 CVE-2026-1778은 안전하지 않은 TLS 구성과 관련이 있습니다. 이 문제는 Triton Python 백엔드에서 SSL 인증서 검증을 전역적으로 비활성화합니다. 이 구성은 공개 소스에서 모델을 다운로드할 때 SSL 오류를 우회하기 위해 도입되었습니다. 이는 Triton Python 모델을 가져올 때 HTTPS 연결의 보안을 무효화합니다. 이 취약점은 SDK의 v2 및 v3 버전 내 특정 빌드에도 영향을 미칩니다. 이러한 취약점은 SageMaker 모델 훈련 및 배포의 무결성과 보안을 손상시키는 데 악용될 수 있습니다. 사용자는 제공된 기사를 검토하여 포괄적인 정보와 해결 단계를 확인하는 것이 좋습니다. 이러한 중요한 보안 위험을 해결하기 위해 즉각적인 주의가 필요합니다. 공지에서는 패치된 SDK 버전으로 즉시 업데이트하는 것이 중요함을 강조합니다. 이러한 문제를 해결함으로써 사용자는 AWS에서 머신 러닝 워크플로우를 보호할 수 있습니다. Security Findings in SageMaker Python SDK aws.amazon.com
CVE-2026-1386 - 파이어크래커 재러(Firecracker Jailer)에서 심볼릭 링크를 통한 임의 호스트 파일 덮어쓰기 취약점 신고 ID: 2026-003-AWS 범위: AWS 콘텐츠 유형: 중요(주의 필요) 게시일: 2026년 1월 23일 12:30 PM PST 설명: 파이어크래커(Firecracker)는 보안이 강화된 다중 테넌트 컨테이너 및 함수 기반 서비스를 생성하고 관리하기 위해 특별히 설계된 오픈 소스 가상화 기술입니다. 파이어크래커는 사용자 공간에서 실행되며 리눅스 커널 기반 가상 머신(KVM)을 사용하여 마이크로 가상 머신(microVM)을 생성합니다. 각 파이어크래커 마이크로 가상 머신은 동반 프로그램인 "제일러(jailer)"라는 이름의 프로그램에 의해 추가로 격리되며, 제일러는 사용자가 마이크로 가상 머신 경계에서 탈출할 경우 두 번째 방어선을 제공합니다. 제일러는 각 파이어크래커 버전에 따라 릴리스됩니다. 우리는 파이어크래커 제일러와 관련된 CVE-2026-1386이라는 문제를 알고 있습니다. 이 문제는 특정 상황에서 사용자가 호스트 파일 시스템의 임의 파일을 덮어쓸 수 있도록 허용할 수 있습니다. 파이어크래커를 사용하는 AWS 서비스는 이 문제에 영향을 받지 않습니다. 왜냐하면 우리는 호스트와 제일러 폴더에 대한 액세스를 적절히 제한하여 공격이 발생하는 데 필요한 전제 조건을 차단하기 때문입니다. 영향을 받는 버전: 파이어크래커 버전 v1.13.1 및 이전 버전, 1.14.0 이 AWS 보안 공지와 관련된 최신 및 완전한 정보는 아래의 기사를 참조하십시오. CVE-2026-1386 - Arbitrary Host File Overwrite via Symlink in Firecracker Jailer aws.amazon.com
CodeBuild의 비앵커 ACCOUNT_ID 웹훅 필터 게시물 ID: 2026-002-AWS 범위: AWS 내용 유형: 정보 게시일: 2026/01/15 오전 7:03 PST설명:보안 연구팀이 다음 AWS 관리 오픈 소스 GitHub 저장소에 영향을 미치는 구성 문제를 확인했습니다. 이로 인해 부적절한 코드가 도입될 수 있었습니다:- aws-sdk-js-v3 - aws-lc - amazon-corretto-crypto-provider - awslabs/open-data-registry구체적으로, 연구원들은 위 저장소의 신뢰할 수 있는 행위자 ID를 제한하기 위한 AWS CodeBuild 웹훅 필터에 구성된 정규 표현식이 불충분하여 예측 가능한 행위자 ID가 영향을 받는 저장소에 대한 관리자 권한을 얻을 수 있음을 확인했습니다. 이는 CodeBuild 서비스 자체의 문제가 아니라, 이러한 저장소에 대한 웹훅 행위자 ID 필터의 프로젝트별 오설정이었음을 확인할 수 있습니다. 연구원들은 빈 코드 커밋을 통해 한 저장소에 부적절한 코드를 커밋할 수 있는 가능성을 신중하게 시연했으며, 연구 활동과 잠재적인 부정적 영향에 대해 AWS 보안팀에 즉시 알렸습니다.이 보안 연구 활동 동안 영향을 받는 저장소에 부적절한 코드는 도입되지 않았으며, 한 저장소에 대한 시연된 빈 코드 커밋은 어떤 AWS 고객 환경에도 영향을 미치지 않았고, 어떤 AWS 서비스나 인프라에도 영향을 미치지 않았습니다. 고객의 조치는 필요하지 않습니다.이 AWS 보안 게시물과 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오. Unanchored ACCOUNT_ID webhook filters for CodeBuild aws.amazon.com
CVE-2026-0830 - Kiro GitLab Merge Request Helper의 명령 주입 취약점 공지 ID: 2026-001-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026/01/09 13:15 PM PST설명:Kiro는 사용자가 데스크톱에 설치하는 에이전트 기반 IDE입니다. 저희는 악의적으로 조작된 워크스페이스를 열 경우 Kiro 버전 0.6.18 이전의 Kiro IDE에서 임의의 명령 주입이 발생할 수 있는 CVE-2026-0830을 확인했습니다. 이는 워크스페이스 내에 주입된 명령을 포함하는 특수하게 조작된 폴더 이름을 가진 워크스페이스에서 발생할 수 있습니다.해결 방법: Kiro IDE <0.6.18이 AWS 보안 공지와 관련된 최신 정보는 아래 기사를 참조하십시오. CVE-2026-0830 - Command Injection in Kiro GitLab Merge Request Helper aws.amazon.com
S3 암호화 클라이언트의 키 약속 문제 AWS는 즉각적인 주의가 필요한 중요한 보안 공지, AWS-2025-032를 발표했습니다. 이 공지는 여러 프로그래밍 언어에서 S3 암호화 클라이언트의 취약점을 다룹니다. 식별된 CVE는 이러한 암호화 클라이언트 내의 키 커밋 문제와 관련이 있습니다. 구체적으로, 취약점은 Java, Go, .NET, C++, PHP 및 Ruby S3 암호화 클라이언트에 영향을 미칩니다. 이러한 클라이언트는 S3에 저장된 데이터를 암호화하고 해독하는 데 사용됩니다. 핵심 문제는 암호화된 데이터 키(EDK)가 지침 파일에 저장될 때 발생합니다. 이 저장 방식은 EDK를 "Invisible Salamanders" 공격과 같은 잠재적인 공격에 노출시킵니다. 이 공격은 EDK를 조작하고 대체하여 데이터 보안을 손상시킬 수 있습니다. 공지에는 언어별로 영향을 받는 버전 목록이 제공됩니다. 사용자들은 S3 암호화 클라이언트를 패치된 버전으로 업그레이드할 것을 권장합니다. 패치에는 다음 버전 이상이 포함됩니다: Java (3.5.0), Go (3.1.0), .NET (3.1), C++ (1.11.711), PHP (3.367.0), 및 Ruby (1.207.0). Key Commitment Issues in S3 Encryption Clients aws.amazon.com
AWS EKS의 Harmonix에서 지나치게 허용적인 신뢰 정책 게시판 ID: AWS-2025-031 범위: AWS 콘텐츠 유형: 정보 제공 게시 날짜: 2025년 12월 15일 오전 11:45 PST설명:Harmonix on AWS는 CNCF Backstage 프로젝트를 확장하는 개발자 플랫폼의 오픈 소스 참조 아키텍처 및 구현입니다. Harmonix on AWS 프레임워크의 과도하게 허용적인 IAM 신뢰 정책이 인증된 사용자가 역할 위임을 통해 권한을 상승시킬 수 있도록 허용할 수 있는 CVE-2025-14503을 확인했습니다. EKS 환경 프로비저닝 역할에 대한 샘플 코드는 계정 루트 주체를 신뢰하도록 구성되어 있어, sts:AssumeRole 권한이 있는 모든 계정 주체가 관리자 권한으로 역할을 위임할 수 있습니다.해결:v0.3.0 ~ v0.4.1 Overly Permissive Trust Policy in Harmonix on AWS EKS aws.amazon.com
CVE-2025-66478: React 서버 컴포넌트에서의 RCE 공지 ID: AWS-2025-030 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2025년 12월 3일 오후 8:00 PST설명:AWS는 최근 공개된 CVE-2025-55182에 대해 인지하고 있으며, 이는 React 버전 19.0, 19.1, 19.2 및 Next.js 버전 15.x, 16.x, Next.js 14.3.0-canary.77 및 App Router를 사용하는 이후의 canary 릴리스에서 React Server Flight 프로토콜에 영향을 미칩니다. 이 문제는 영향을 받는 애플리케이션 서버에서 무단 원격 코드 실행을 허용할 수 있습니다.AWS는 CVE-2025-66478이 CVE-2025-55182의 중복으로 거부되었음을 인지하고 있습니다.관리형 AWS 서비스를 사용하는 고객은 영향을 받지 않으며, 별도의 조치가 필요하지 않습니다. 자체 환경에서 영향을 받는 React 또는 Next.js 버전을 실행하는 고객은 즉시 최신 패치된 버전으로 업데이트해야 합니다.- React 19.x를 사용하고 Server Functions 및 RSC Components를 사용하는 고객은 최신 패치된 버전인 19.0.1, 19.1.2, 및 19.2.1로 업데이트해야 합니다. - App Router를 사용하여 Next.js 15-16을 사용하는 고객은 패치된 버전으로 업데이트해야 합니다. CVE-2025-66478: RCE in React Server Components aws.amazon.com
