공지 ID: 2026-036-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 5월 22일 오전 11시 15분(PDT)

설명:

Amazon Braket SDK는 하이브리드 양자 작업 관리, 작업 결과 검색 등 Amazon Braket 양자 컴퓨팅 서비스와 상호 작용하기 위한 오픈 소스 Python 라이브러리입니다. 작업 결과 처리 구성 요소에서 안전하지 않은 역직렬화 문제(CWE-502) CVE-2026-9291을 확인했습니다. SDK의 deserialize_values() 함수는 신뢰할 수 없는 JSON 파일의 dataFormat 필드를 신뢰하여 데이터 페이로드에서 pickle.loads()를 호출할지 여부를 관리합니다. 작업 출력 버킷에 대한 S3 쓰기 권한이 있는 인증된 원격 사용자는 results.json의 dataFormat 필드를 PLAINTEXT에서 pickled_v4로 수정하고 데이터 값을 실행 가능한 페이로드로 대체하여 작업 결과를 처리하는 모든 시스템에서 임의의 코드를 실행할 수 있습니다.

영향을 받는 버전: >= 1.10.0 AND < 1.117.0

해결 방법:

이 문제는 amazon-braket-sdk 버전 1.117.0에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

즉시 업그레이드할 수 없는 경우, 최소 권한 액세스를 적용하여 신뢰할 수 있는 주체만 쓰기 권한을 갖도록 Braket 작업 출력 버킷의 S3 버킷 정책을 제한하세요. 또한 job.result()를 호출하기 전에 작업 결과 메타데이터에서 dataFormat 필드를 검증하고 예상치 못한 형식의 결과 처리를 거부할 수 있습니다.

참고 사항:

• CVE-2026-9291
• GHSA-g697-2xrc-gc46

보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.