文章总结： 亚马逊AWS-LC加密库披露三个重大安全漏洞，含高危证书链与签名验证绕过及AES-CCM时序侧信道攻击，攻击者可借此伪造签名或解密数据。受影响范围覆盖AWS-LC及FIPS模块多个版本，目前无临时缓解措施，建议相关开发者尽快升级至v1.69.0等修复版本以确保安全。 综合评分： 80 文章分类： 漏洞预警,云安全,漏洞分析

破解云端加密：亚马逊 AWS-LC 库中发现未经身份验证的绕过漏洞

sec随谈 sec随谈

sec随谈

2026年3月6日 09:08 北京

网络安全研究人员在亚马逊的开源加密库 AWS-LC 中发现了三个重大漏洞。AWS-LC 被广泛应用于亚马逊的云基础设施和全球服务中。这些漏洞包括高危验证绕过漏洞和微妙的时序侧信道攻击，可能允许未经身份验证的攻击者破坏加密通信或验证伪造的数字签名。

AWS-LC 是一个基于 Google 的 BoringSSL 和 OpenSSL 项目的通用库，是亚马逊 FIPS 验证产品和服务以及许多第三方应用程序的加密骨干。

三个漏洞中有两个，即CVE-2026-3336和CVE-2026-3338，针对的是 PKCS7_verify() 函数，该函数负责验证加密消息语法 (CMS) 中的数字签名和证书链。

• CVE-2026-3336 (CVSS 7.5)：此“证书链验证绕过”漏洞尤其危险。当处理具有多个签名者的 PKCS7 对象时，该库对证书的验证不正确。正如安全报告所述，此漏洞“允许未经身份验证的用户在处理具有多个签名者的 PKCS7 对象时绕过证书链验证，但最后一个签名者除外”。攻击者可以构造一个文件，其中较早的签名者验证失败，但如果最后一个签名者看起来合法，则整个软件包都会被接受。
• CVE-2026-3338 (CVSS 7.5)：在处理具有“已验证属性”的对象时，存在相关的“签名验证绕过”漏洞。此漏洞“允许未经身份验证的用户在处理具有已验证属性的 PKCS7 对象时绕过签名验证”。

第三个漏洞CVE -2026-3337 (CVSS 5.9) 是 AES-CCM 标签验证过程中的“时序侧信道”漏洞。与直接代码执行不同，时序攻击依赖于测量处理器执行操作所需时间的微小变化。

在这种情况下，该库的 AES-CCM 解密使用了非恒定时间的身份验证标签比较。正如报告警告的那样，这“可能允许未经身份验证的用户通过时间分析来确定身份验证标签的有效性”。通过观察这些差异，攻击者理论上可以通过重复的、精确计时的查询来推断敏感数据或识别有效的标签。

这些漏洞会影响多个版本的 AWS-LC 核心及其相关的系统绑定。

| 漏洞 | 受影响版本 | 修复版本 | | — | — | — | | CVE-2026-3336 | AWS-LC： < v1.69.0；aws-lc-sys： < v0.38.0 | v1.69.0 / v0.38.0 | | CVE-2026-3337 | AWS-LC： < v1.69.0；aws-lc-sys： < v0.38.0 | v1.69.0 / v0.38.0 | | CVE-2026-3338 | AWS-LC： < v1.69.0；aws-lc-sys： < v0.38.0 | v1.69.0 / v0.38.0 |

对于使用 FIPS 验证模块的用户，AWS-LC-FIPS v3.2.0 和 aws-lc-sys-fips v0.13.12 解决了定时侧信道 ( CVE-2026-3337 ) 问题。

目前尚无针对这些问题的已知解决方法。使用 AWS-LC 库或 aws-lc-rs Rust 绑定的开发人员应立即将其依赖项升级到最新版本，以确保其应用程序免受这些未经身份验证的网络攻击。

参考链接：

https://aws.amazon.com/cn/security/security-bulletins/rss/2026-005-aws/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《破解云端加密：亚马逊 AWS-LC 库中发现未经身份验证的绕过漏洞》