速報 ID: 2026-043-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 12 日 午前 11 時 45 分 (PDT)

説明:

AWS Common Runtime aws-c-http は、AWS SDK が AWS サービスに対する HTTP リクエストを処理するために使用する HTTP クライアントライブラリです。当社では CVE-2026-12043 を特定しました。これは、AWS Common Runtime aws-c-http ライブラリにおける HPACK 動的テーブルサイズの更新での不適切な処理により、サーバーを運用するリモートの攻撃者が、細工された HTTP/2 HEADERS フレームのシーケンスを介して、接続しているクライアントアプリケーションでメモリ破損を引き起こせるようにする可能性がある問題です。このような破損により、任意のコード実行につながる可能性があります。

影響を受けるバージョン: aws-c-http >= 0.4.22 および <= 0.10.15

次の SDK バージョンで影響があります:

• aws-sdk-cpp >= 1.11.41、<= 1.11.814
• aws-sdk-java-v2 >= 2.44.27、<= 2.44.14　

解決方法:

この問題は、aws-c-http バージョン 0.11.0 で対処されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

利用可能な場合は、HTTP/1.1 接続を強制します。

参考情報:

• CVE-2026-12043
• GHSA-rmjr-3qpm-vh98

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。