ID bollettino: 2026-042-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 10/06/2026 11:15 PDT

Descrizione:

s2n-quic è un’implementazione Rust del protocollo QUIC. Abbiamo identificato la vulnerabilità CVE-2026-10740, un problema relativo all’allocazione di memoria illimitata nel reassembler di frame CRYPTO nelle versioni di s2n-quic precedenti alla 1.82.0. Un utente non autenticato può tentare di esaurire la memoria del server in un endpoint s2n-quic tramite l’invio di frame CRYPTO con offset elevati creati appositamente. Il buffer utilizzato per l’elaborazione dei frame CRYPTO non impone una dimensione massima. Nel peggiore dei casi, un singolo pacchetto da 1200 byte può comportare circa 9,4 MB di allocazione. Inviando ripetutamente tali pacchetti, la conseguente pressione sulla memoria può causare la negazione del servizio (denial of service). Non è richiesto un handshake valido.

Versioni interessate: versioni precedenti alla v1.82.0

Risoluzione:

Il problema è stato risolto nella versione v1.82.0 di s2n-quic. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

Non esiste una soluzione alternativa che limiti il problema. L’aggiornamento alla versione con patch è la soluzione consigliata.

Riferimenti:

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.