ID du bulletin : 2026-017-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 20/04/2026 à 9 h 15 (heure du Pacifique)
 

Description :

AWS Encryption SDK (ESDK) pour Python est une bibliothèque de chiffrement côté client. Nous avons identifié CVE-2026-6550, qui décrit un problème lié à un contournement de la politique d’engagement de clés via un cache de clés partagées.

La rétrogradation de l’algorithme de chiffrement dans la couche de mise en cache de AWS Encryption SDK d’Amazon pour Python avant la version 3.3.1 et la version 4.0.5 peut permettre à un acteur local authentifié de contourner l’application de la politique d’engagement de clés via un cache de clés partagées, qui se traduit par un texte chiffré pouvant être déchiffré en plusieurs textes en clair différents.

Versions affectées :

• De la version 2.0 à la version 2.5.1
• De la version 3.0 à la version 3.3.0
• De la version 4.0 à la version 4.0.4

Résolution :

Ce problème a été résolu dans ESDK pour les versions Python 3.3.1 et 4.0.5. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Si un client a besoin d’exploiter plusieurs instances de Python ESDK, chacune avec des politiques d’engagement de clés configurées différemment, il ne doit pas partager de cache de clés.

Références :

• CVE-2026-6550
• GHSA-v638-38fc-rhfv

Remerciements :

Nous tenons à remercier 1seal.org pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.