公告 ID：2026-042-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 6 月 10 日上午 11:15 (太平洋夏令時間)

描述：

s2n-quic 是 QUIC 協定的 Rust 語言實作。我們發現了編號為 CVE-2026-10740 的漏洞，該漏洞存在於 s2n-quic 1.82.0 版之前的 CRYPTO 訊框重組器中，屬於無限制的記憶體分配問題。未經身分驗證的使用者可透過傳送具有高偏移量的惡意 CRYPTO 訊框，嘗試耗盡 s2n-quic 端點上的伺服器記憶體。用於處理 CRYPTO 訊框的緩衝區未強制設定大小上限。在最嚴重的情況下，單一個 1200 位元組的封包可能導致約 9.4 MB 的記憶體分配。透過重複傳送此類封包，所產生的記憶體壓力可能引發阻斷服務。此攻擊無需完成有效的交握流程。

受影響版本：< v1.82.0

解決方案：

此問題已在 s2n-quic 版本 v1.82.0 中得以解決。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。

變通方法：

目前沒有任何可以完全緩解此問題的變通方法。升級至已修補版本是建議的修補方式。

參考資料：

• CVE-2026-10740
• GHSA-9q54-f358-3fqf

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。