ID du bulletin : 2026-042-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 10/06/2026 à 11 h 15 PDT

Description :

s2n-quic est une implémentation Rust du protocole QUIC. Nous avons identifié CVE-2026-10740, un problème d’allocation de mémoire non limitée dans le réassembleur de trames CRYPTO de s2n-quic avant la version 1.82.0. Un utilisateur non authentifié peut tenter d’épuiser la mémoire du serveur sur un point de terminaison s2n-quic en envoyant des trames CRYPTO spécialement conçues avec des décalages élevés. La mémoire tampon utilisée pour traiter les trames CRYPTO n’impose pas de taille maximale. Dans le pire des cas, un seul paquet de 1 200 octets peut entraîner environ 9,4 Mo d’allocation. L’envoi répété de tels paquets pourrait provoquer un déni de service sous l’effet de la pression mémoire qui en résulte. Aucun établissement de liaison valide n’est requis.

Versions concernées : < v1.82.0

Résolution :

Ce problème a été résolu dans la version v1.82.0 de s2n-quic. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Il n’existe aucune solution de contournement permettant d’atténuer complètement ce problème. La mise à niveau vers la version corrigée est la mesure corrective recommandée.

Références :

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.