公告 ID：2026-017-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 20 日上午 9:15 (太平洋夏令時間)
 

描述：

AWS Encryption SDK (ESDK) for Python 是用戶端加密程式庫。我們發現了 CVE-2026-6550，此問題涉及透過共用金鑰快取繞過金鑰承諾政策。

3.3.1 版之前與 4.0.5 版之前的 Amazon AWS Encryption SDK for Python 快取層存在密碼編譯演算法降級弱點，可能讓經過身分驗證的本機威脅行為者，透過共用金鑰快取繞過金鑰承諾政策強制執行機制，導致密文能解密成多個不同的明文。

受影響版本：

• 2.0 至 2.5.1 版
• 3.0 至 3.3.0 版
• 4.0 至 4.0.4 版

解決方案：

此問題已在 ESDK for Python 3.3.1 版與 4.0.5 版中解決。建議升級至最新版本，並確保已修補任何分支或衍生程式碼，納入新的修正檔。

變通方法：

若客戶必須運作多個 Python ESDK 執行個體，且各自設定不同的金鑰承諾政策，則絕對不可共用金鑰快取。

參考資料：

• CVE-2026-6550
• GHSA-v638-38fc-rhfv

致謝：

誠摯感謝 1seal.org 透過協調式漏洞揭露程序，與我們共同處理此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。