Improper certificate validation in PKCS7_verify() in AWS-LC allows an unauthenticated user to bypass certificate chain verification when processing PKCS7 objects with multiple signers, except the final signer. Customers of AWS services do not need to take action. Applications using AWS-LC should upgrade to AWS-LC version 1.69.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAmazon Aws Lc Sys
APPAmazon0.24.0 – 0.38.0 (bez)Amazon Aws Libcrypto
APPAmazon1.41.0 – 1.69.0 (bez)
Related vulnerabilities
Observable timing discrepancy in AES-CCM decryption in AWS-LC allows an unauthenticated user to potentially de...
Improper signature validation in PKCS7_verify() in AWS-LC allows an unauthenticated user to bypass signature v...
Niewystarczające zabezpieczenia uwierzytelniania w Amazon Athena ODBC Driver
Nieprawidłowa walidacja certyfikatów w Amazon Athena ODBC Driver — atak MITM
Cisco ISE w chmurze: współdzielone statyczne poświadczenia umożliwiają nieautoryzowany dostęp