公告 ID：2026-042-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 10 日上午 11:15（太平洋夏令时）

描述：

s2n-quic 是 QUIC 协议的 Rust 实现。我们发现了 CVE-2026-10740 漏洞，这是 1.82.0 之前版本的 s2n-quic 中 CRYPTO 帧重组器中存在的无限内存分配问题。未经身份验证的用户可以通过发送有意设计的高偏移量 CRYPTO 帧来尝试耗尽 s2n-quic 端点上的服务器内存。用于处理 CRYPTO 帧的缓冲区不强制规定最大大小。在最坏的情况下，一个 1200 字节的数据包可能会导致大约 9.4 MB 的分配。通过反复发送此类数据包，由此产生的内存压力可能导致拒绝服务。不需要有效的握手。

受影响的版本：< v1.82.0

解决方法：

此问题已在 s2n-quic 版本 v1.82.0 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

没有任何临时措施可以完全缓解此问题。建议的补救措施是升级到打补丁的版本。

参考：

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。