速報 ID: 2026-017-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 20 日 午前 9 時 15 分 (PDT)
 

説明:

AWS Encryption SDK (ESDK) for Python は、クライアント側の暗号化ライブラリです。当社は、CVE-2026-6550 を特定しました。これは、共有キーキャッシュを介したキーコミットメントポリシーのバイパスに関する問題を説明するものです。

Amazon AWS Encryption SDK for Python のバージョン 3.3.1 以前と 4.0.5 以前のキャッシュレイヤーの暗号化アルゴリズムをダウングレードすると、認証されたローカルの脅威アクターが共有キーキャッシュを介してキーコミットメントポリシーの適用を回避し、複数の異なる平文へ復号可能な暗号文を生成できる可能性があります。

影響を受けるバージョン:

• 2.0 から 2.5.1 まで
• 3.0 から 3.3.0 まで
• 4.0 から 4.0.4 まで

解決方法:

この問題は、ESDK for Python バージョン 3.3.1 および 4.0.5 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

Python ESDK の複数のインスタンスをそれぞれ異なるキーコミットメントポリシーで運用する必要がある場合、キーキャッシュを共有してはなりません。

参考情報:

• CVE-2026-6550
• GHSA-v638-38fc-rhfv

謝辞:

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった 1seal.org に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。