Podatność w bibliotece kryptograficznej AWS-LC przed wersją 1.71.0 powoduje błędne odrzucanie podzielonych list odwołań certyfikatów (partitioned CRL), co umożliwia odwołanym certyfikatom przejście przez weryfikację bez wykrycia. Jest to groźne, ponieważ skutkuje faktycznym unieważnieniem mechanizmu odwołania certyfikatów PKI.
▸ Pokaż oryginał (EN)
A logic error in CRL distribution point validation in AWS-LC before 1.71.0 causes partitioned CRLs to be incorrectly rejected as out of scope, which allows a revoked certificate to bypass certificate revocation checks. To remediate this issue, users should upgrade to AWS-LC 1.71.0 or AWS-LC-FIPS-3.3.0.
W module walidacji punktów dystrybucji CRL (CRL distribution point) występuje błąd logiczny, który powoduje, że podzielone listy CRL (partitioned CRL) są nieprawidłowo klasyfikowane jako wykraczające poza zakres walidacji i odrzucane. W konsekwencji biblioteka traktuje certyfikaty objęte takimi listami jako niesprawdzone pod kątem odwołania, zamiast je odrzucić. Atakujący posiadający odwołany certyfikat może wykorzystać ten błąd, aby skutecznie ominąć mechanizm weryfikacji statusu certyfikatu.
Atakujący dysponujący certyfikatem, który powinien zostać odwołany, może go skutecznie wykorzystać do uwierzytelnienia lub nawiązania szyfrowanych połączeń, omijając zabezpieczenia PKI. Może to prowadzić do nieautoryzowanego dostępu do zasobów chronionych mechanizmem weryfikacji certyfikatów oraz do kompromitacji poufności i integralności danych.
Należy zaktualizować AWS-LC do wersji 1.71.0 lub nowszej, a w przypadku wariantu FIPS — do wersji AWS-LC-FIPS-3.3.0 lub nowszej. Szczegóły dostępne w biuletynie bezpieczeństwa AWS (https://aws.amazon.com/security/security-bulletins/2026-010-AWS/) oraz w notatkach wydania na GitHub.
AWS-LC przed wersją 1.71.0 oraz AWS-LC-FIPS przed wersją 3.3.0. Dotyczy wszystkich aplikacji i systemów wykorzystujących wymienione biblioteki do walidacji certyfikatów z podzielonymi listami CRL.
Podatność klasyfikowana jako CWE-299 (Improper Check for Certificate Revocation). Producent (AWS) opublikował biuletyn bezpieczeństwa 2026-010-AWS wskazujący konkretne wersje naprawcze: AWS-LC 1.71.0 i AWS-LC-FIPS-3.3.0.
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X