概要
AWS-LCのPKCS7_verify()関数において、署名検証の不備(Improper signature validation)が存在することが報告されました。この脆弱性(CVE-2026-3338)が悪用されると、認証されていない攻撃者が、Authenticated Attributesを持つPKCS7オブジェクトを処理する際に、署名検証をバイパスできる可能性があります。
これにより、本来信頼されるべきでないPKCS7オブジェクトが、正当なものとして扱われてしまうリスクが考えられます。なお、AWSサービスをご利用のお客様は、この脆弱性に対する特別な対応は不要とされています。
影響範囲
AWS-LCを使用しているアプリケーションが影響を受ける可能性があります。具体的には、PKCS7オブジェクトの署名検証にAWS-LCのPKCS7_verify()関数を利用しているシステムが対象となります。
AWSサービス自体は影響を受けず、お客様側での対応は不要と報告されています。
想定される影響
攻撃者が署名検証をバイパスすることで、不正に改ざんされた、または信頼できないPKCS7オブジェクトが、正当なものとしてシステムに受け入れられる可能性があります。これにより、データの完全性(Integrity)が損なわれたり、意図しないコード実行や情報漏洩につながる可能性も考えられますが、具体的な影響はアプリケーションの実装に依存します。
攻撃成立条件・悪用状況
攻撃成立条件
- 攻撃者が、Authenticated Attributesを持つPKCS7オブジェクトを、脆弱性のあるAWS-LCを使用するアプリケーションに処理させる必要があります。
- 認証されていないユーザーでも攻撃が可能とされています。
悪用状況
現時点での具体的な悪用状況については、公開情報からは確認できません。
推奨対策
優先度:高
- AWS-LCのアップグレード: AWS-LCを使用しているアプリケーションは、速やかにバージョン1.69.0以降にアップグレードしてください。これにより、本脆弱性が修正されます。
中長期的な対策
- ソフトウェアサプライチェーンの確認: 利用しているライブラリやフレームワークがAWS-LCに依存している場合、その依存関係を把握し、最新バージョンへの追従計画を立ててください。
- セキュリティ情報の継続的な監視: 利用しているソフトウェアの脆弱性情報を定期的に確認し、迅速に対応できる体制を構築してください。
一時的な緩和策
公開情報には、具体的な一時的な緩和策は記載されていません。根本的な解決策として、AWS-LCのアップグレードが推奨されています。
確認方法
自社のアプリケーションがAWS-LCを使用しているか、またそのバージョンを確認してください。特に、PKCS7オブジェクトの署名検証処理にAWS-LCのPKCS7_verify()関数が利用されているかを確認することが重要です。
参考情報
- CVE-2026-3338 詳細: https://cvefeed.io/vuln/detail/CVE-2026-3338
- AWS-LC公式情報(該当するバージョンアップ情報など)