概要
CVE-2026-3336は、AWS-LCライブラリのPKCS7_verify()関数における不適切な証明書検証の脆弱性です。この脆弱性により、認証されていない攻撃者が、特定の条件下でPKCS7オブジェクトの証明書チェーン検証をバイパスできる可能性があります。特に、最終署名者を除く複数の署名者を持つPKCS7オブジェクトを処理する際に影響を受けると報告されています。本脆弱性の深刻度は「HIGH」(CVSSスコア8.7)と評価されています。
影響範囲
- AWS-LCライブラリを使用しているアプリケーションが影響を受けます。
- AWSの各種サービスをご利用のお客様は、AWS側で対応が行われるため、お客様側での特別な対応は不要と報告されています。
- AWS-LCを直接組み込んでいる、または依存しているアプリケーションが主な対象となります。
想定される影響
証明書チェーンの検証がバイパスされることにより、攻撃者は信頼できない証明書を正規のものとして提示できる可能性があります。これにより、以下のような影響が考えられます。
- 認証バイパス: 攻撃者が偽の証明書を用いてシステムやサービスに不正にアクセスする可能性があります。
- なりすまし: 攻撃者が正当なエンティティになりすまし、ユーザーを欺く可能性があります。
- 中間者攻撃 (Man-in-the-Middle): 通信の傍受や改ざんが行われる可能性があります。
攻撃成立条件・悪用状況
- 攻撃成立条件: 認証されていないユーザーが、最終署名者を除く複数の署名者を持つPKCS7オブジェクトを処理する際に、本脆弱性が悪用される可能性があります。
- 悪用状況: 現時点では、本脆弱性の積極的な悪用状況に関する具体的な報告は確認されていません。
推奨対策
今すぐできる対策
- AWS-LCのアップグレード: AWS-LCを使用しているアプリケーションは、速やかにバージョン1.69.0以降へアップグレードしてください。これが最も効果的な対策です。
中長期的な対策
- ソフトウェアの継続的な更新: 使用しているライブラリやコンポーネントのセキュリティ情報を常に監視し、定期的に最新バージョンへの更新を計画・実施してください。
- サプライチェーンセキュリティの強化: 依存するオープンソースライブラリやサードパーティ製コンポーネントの脆弱性管理プロセスを強化してください。
一時的な緩和策
本脆弱性に対する一時的な緩和策は、現時点では特に報告されていません。根本的な解決策として、AWS-LCのバージョンアップが強く推奨されます。
確認方法
ご自身のアプリケーションが使用しているAWS-LCのバージョンを確認してください。バージョンが1.69.0未満である場合は、脆弱性の影響を受ける可能性があります。