公告 ID：2026-017-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 20 日上午 9:15（太平洋夏令时）
 

描述：

适用于 Python 的 AWS Encryption SDK（ESDK）是一个客户端加密库。我们发现了 CVE-2026-6550，其中描述了通过共享密钥缓存绕过密钥承诺策略的问题。

在版本 3.3.1 和版本 4.0.5 之前的版本中，在适用于 Python 的 Amazon AWS Encryption SDK 的缓存层中，加密算法降级可能会允许经过身份验证的本地威胁行为者通过共享密钥缓存，绕过密钥承诺策略的执行，从而生成可以解密为多个不同明文的加密文字。

受影响的版本：

• 从 2.0 到 2.5.1
• 从 3.0 到 3.3.0
• 从 4.0 到 4.0.4

解决方法：

此问题已在适用于 Python 的 ESDK 版本 3.3.1 和 4.0.5 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

如果客户需要使用不同配置的密钥承诺策略来操作多个 Python ESDK 实例，则他们不得共享密钥缓存。

参考：

• CVE-2026-6550
• GHSA-v638-38fc-rhfv

致谢：

我们非常感谢 1seal.org 通过协调漏洞披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。