Bulletin-ID: 2026-043-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 12.06.2026, 11.45 Uhr PDT

Beschreibung:

AWS Common Runtime aws-c-http ist eine HTTP-Clientbibliothek, die von AWS SDKs zur Verarbeitung von HTTP-Anfragen an AWS-Services verwendet wird. Wir haben eine Schwachstelle (CVE-2026-12043) festgestellt, bei der eine fehlerhafte Verarbeitung von Aktualisierungen der Größe der dynamischen HPACK-Tabelle in der Bibliothek AWS Common Runtime aws-c-http es einem entfernten Akteur, der einen Server betreibt, ermöglichen könnte, durch eine manipulierte Sequenz von HTTP/2-HEADERS-Frames eine Speicherkorruption in einer sich verbindenden Clientanwendung zu verursachen, was potenziell zur Ausführung beliebigen Codes führen kann.

Betroffene Versionen: aws-c-http >= 0.4.22 UND <= 0.10.15

In den folgenden SDK-Versionen ungeschützt:

• aws-sdk-cpp >= 1.11.41, <= 1.11.814
• aws-sdk-java-v2 >= 2.44.27, <= 2.44.14

Lösung:

Dieses Problem wurde in aws-c-http Version 0.11.0 behoben. Sie sollten ein Upgrade auf die neueste Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.

Problemumgehungen:

Erzwingen Sie HTTP/1.1-Verbindungen, falls verfügbar.

Referenzen:

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.