ID bollettino: 2026-017-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 20/04/2026 9:15 PDT
 

Descrizione:

L’SDK di crittografia AWS (ESDK) per Python è una libreria di crittografia lato client. È stata identificata la vulnerabilità CVE-2026-6550, che descrive un bypass della policy di key commitment tramite cache delle chiavi condivisa.

Un downgrade dell’algoritmo crittografico nel livello di caching dell’SDK di crittografia AWS per Python, nelle versioni precedenti alla 3.3.1 e alla 4.0.5, potrebbe consentire a un attore malevolo locale autenticato di aggirare l’applicazione della policy di key commitment tramite una cache delle chiavi condivisa, con il risultato che un testo criptato può essere decifrato in più testi non crittografati diversi.

Versioni interessate:

• Da 2.0 a 2.5.1
• Da 3.0 a 3.3.0
• Da 4.0 a 4.0.4

Risoluzione:

la vulnerabilità è stata risolta in ESDK per Python versioni 3.3.1 e 4.0.5. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

se un cliente necessita di eseguire più istanze dell’ESDK per Python, ciascuna con policy di key commitment configurate in modo diverso, non deve condividere la cache delle chiavi.

Riferimenti:

• CVE-2026-6550
• GHSA-v638-38fc-rhfv

Ringraziamenti:

si ringrazia 1seal.org per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.