速報 ID: 2026-042-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 10 日 午前 11 時 15 分 (PDT)

説明:

s2n-quic は QUIC プロトコルの Rust 実装です。当社では CVE-2026-10740 を特定しました。これは、1.82.0 よりも前の s2n-quic での、CRYPTO フレームリアセンブラーにおける無制限のメモリ割り当ての問題です。認証されていないユーザーは、大きいオフセットで細工された CRYPTO フレームを送信することで、s2n-quic エンドポイント上のサーバーメモリを枯渇させようと試みることができます。CRYPTO フレームの処理に使用されるバッファは、最大サイズを強制しません。最悪の場合、1200 バイトの単一のパケットで約 9.4 MB の割り当てが生じる可能性があります。このようなパケットを繰り返し送信することで、メモリ負荷が増大し、サービス拒否 (DoS) が発生する可能性があります。有効なハンドシェイクは不要です。

影響を受けるバージョン: < v1.82.0

解決方法:

この問題は s2n-quic バージョン v1.82.0 で対処されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

この問題を完全に緩和する回避策はありません。是正として、パッチ適用済みのバージョンにアップグレードすることが推奨されます。

参考情報:

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。