Проблема с AWS-LC: криптографической библиотекой общего назначения с открытым исходным кодом (CVE-2026-3336, CVE-2026-3337, CVE-2026-3338)

AWS выпустила важный бюллетень безопасности, касающийся своей криптографической библиотеки с открытым исходным кодом AWS-LC. В библиотеке обнаружены три критические уязвимости. Первая уязвимость, CVE-2026-3336, касается обхода проверки цепочки сертификатов в функции PKCS7_verify. Этот недостаток позволяет неавторизованным пользователям обходить проверку при работе с объектами PKCS7 с несколькими подписантами. Вторая уязвимость, CVE-2026-3337, связана с временным побочным каналом при проверке тегов AES-CCM. Эта уязвимость может позволить злоумышленникам определить действительность тега посредством анализа времени во время расшифровки. Третья уязвимость, CVE-2026-3338, представляет собой обход проверки подписи в PKCS7_verify. Она позволяет злоумышленнику обойти проверку подписи при обработке объектов PKCS7 с аутентифицированными атрибутами. Эти уязвимости затрагивают различные версии AWS-LC и aws-lc-sys, включая версии, соответствующие FIPS. Затронутые версии указаны для каждой уязвимости в бюллетене. Пользователям настоятельно рекомендуется проверить бюллетень для получения полного списка затронутых версий. В бюллетене рекомендуется обратиться к предоставленной статье для получения подробной информации и последних обновлений. Требуются действия для решения этих проблем безопасности.