Bulletin-ID: 2026-042-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 10.06.2026, 11.15 Uhr PDT

Beschreibung:

s2n-quic ist eine Rust-Implementierung des QUIC-Protokolls. Wir haben die Schwachstelle CVE-2026-10740 identifiziert, ein Problem der unbegrenzten Speicherzuweisung im CRYPTO-Frame-Reassembler in s2n-quic vor der Version 1.82.0. Ein nicht authentifizierter Benutzer kann versuchen, den Serverspeicher auf einem s2n-quic-Endpunkt zu erschöpfen, indem er manipulierte CRYPTO-Frames mit hohen Offsets sendet. Der für die Verarbeitung von CRYPTO-Frames verwendete Puffer erzwingt keine maximale Größe. Im schlimmsten Fall kann ein einzelnes 1 200-Byte-Paket zu einer Zuweisung von etwa 9,4 MB führen. Durch wiederholtes Senden solcher Pakete kann die daraus resultierende hohe Speicherauslastung zu einem Denial-of-Service führen. Es ist kein gültiger Handshake erforderlich.

Betroffene Versionen: < v1.82.0

Lösung:

Dieses Problem wurde in s2n-quic Version v1.82.0 behoben. Sie sollten ein Upgrade auf die neueste Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.

Problemumgehungen:

Es gibt keine Problemumgehung, die dieses Problem vollständig entschärft. Ein Upgrade auf die gepatchte Version ist die empfohlene Abhilfe.

Verweise:

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.