ID do boletim: 2026-042-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 10/06/2026 11:15 PDT

Descrição:

O s2n-quic é uma implementação em Rust do protocolo QUIC. Identificamos a vulnerabilidade CVE-2026-10740, uma vulnerabilidade relacionada à alocação de memória sem limite no reassembler de quadros CRYPTO do s2n-quic em versões anteriores a 1.82.0. Um usuário não autenticado pode tentar esgotar a memória do servidor em um endpoint s2n-quic enviando quadros CRYPTO manipulados com deslocamentos elevados. O buffer utilizado para o processamento de quadros CRYPTO não impõe um tamanho máximo. Na pior das hipóteses, um único pacote de 1.200 bytes pode resultar em aproximadamente 9,4 MB de alocação. O envio repetido desses pacotes pode gerar uma sobrecarga na memória, o que poderia causar uma negação de serviço. Não é necessário nenhum protocolo de handshake válido.

Versões afetadas: < v1.82.0

Resolução:

Este problema foi resolvido na versão s2n-quic v1.82.0. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Não há nenhuma solução alternativa que resolva totalmente esse problema. O upgrade para a versão com patch é a solução recomendada.

Referências:

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.