CRITICAL🇬🇧 English

CVE-2026-4428

AWS-LC: Błąd logiczny w walidacji CRL umożliwia ominięcie odwołania certyfikatu

CVSS 9.1v4.0pub. 2026-03-19upd. 2026-03-20

Podatność w bibliotece kryptograficznej AWS-LC przed wersją 1.71.0 powoduje błędne odrzucanie podzielonych list odwołań certyfikatów (partitioned CRL), co umożliwia odwołanym certyfikatom przejście przez weryfikację bez wykrycia. Jest to groźne, ponieważ skutkuje faktycznym unieważnieniem mechanizmu odwołania certyfikatów PKI.

Pokaż oryginał (EN)

A logic error in CRL distribution point validation in AWS-LC before 1.71.0 causes partitioned CRLs to be incorrectly rejected as out of scope, which allows a revoked certificate to bypass certificate revocation checks. To remediate this issue, users should upgrade to AWS-LC 1.71.0 or AWS-LC-FIPS-3.3.0.

🤖 Analiza AI
Jak działa

W module walidacji punktów dystrybucji CRL (CRL distribution point) występuje błąd logiczny, który powoduje, że podzielone listy CRL (partitioned CRL) są nieprawidłowo klasyfikowane jako wykraczające poza zakres walidacji i odrzucane. W konsekwencji biblioteka traktuje certyfikaty objęte takimi listami jako niesprawdzone pod kątem odwołania, zamiast je odrzucić. Atakujący posiadający odwołany certyfikat może wykorzystać ten błąd, aby skutecznie ominąć mechanizm weryfikacji statusu certyfikatu.

Skutki

Atakujący dysponujący certyfikatem, który powinien zostać odwołany, może go skutecznie wykorzystać do uwierzytelnienia lub nawiązania szyfrowanych połączeń, omijając zabezpieczenia PKI. Może to prowadzić do nieautoryzowanego dostępu do zasobów chronionych mechanizmem weryfikacji certyfikatów oraz do kompromitacji poufności i integralności danych.

Mitygacja

Należy zaktualizować AWS-LC do wersji 1.71.0 lub nowszej, a w przypadku wariantu FIPS — do wersji AWS-LC-FIPS-3.3.0 lub nowszej. Szczegóły dostępne w biuletynie bezpieczeństwa AWS (https://aws.amazon.com/security/security-bulletins/2026-010-AWS/) oraz w notatkach wydania na GitHub.

Kogo dotyczy

AWS-LC przed wersją 1.71.0 oraz AWS-LC-FIPS przed wersją 3.3.0. Dotyczy wszystkich aplikacji i systemów wykorzystujących wymienione biblioteki do walidacji certyfikatów z podzielonymi listami CRL.

Uwagi

Podatność klasyfikowana jako CWE-299 (Improper Check for Certificate Revocation). Producent (AWS) opublikował biuletyn bezpieczeństwa 2026-010-AWS wskazujący konkretne wersje naprawcze: AWS-LC 1.71.0 i AWS-LC-FIPS-3.3.0.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje