ID bollettino: 2026-043-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 12/06/2026 11:45 PDT

Descrizione:

AWS Common Runtime aws-c-http è una libreria client HTTP utilizzata dagli SDK AWS per la gestione delle richieste http ai servizi AWS. Abbiamo identificato la vulnerabilità CVE-2026-12043, un problema per cui la gestione impropria degli aggiornamenti delle dimensioni delle tabelle dinamiche HPACK nella libreria AWS Common Runtime aws-c-http può consentire a un attore remoto che gestisce un server di provocare il danneggiamento della memoria di un’applicazione client in connessione. Ciò può potenzialmente portare all’esecuzione arbitraria di codice tramite una sequenza creata appositamente di frame HTTP/2 HEADERS.

Versioni interessate: aws-c-http 0.4.22 e versioni successive E 0.10.15 e versioni precedenti

Esposto nelle versioni sdk indicate di seguito:

• aws-sdk-cpp 1.11.41 e versioni successive, 1.11.814 e versioni precedenti
• aws-sdk-java-v2 2.44.27 e versioni successive, 2.44.14 e versioni precedenti

Risoluzione:

Il problema è stato risolto nella versione 0.11.0 di aws-c-http. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

Forzare le connessioni HTTP/1.1 se disponibili.

Riferimenti:

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.