CVE-2020-8897

Versões anteriores à 2.0.0 dos SDKs de criptografia da AWS

Existe uma vulnerabilidade de robustez nos SDKs de criptografia da AWS devido à propriedade de não comprometimento do AES-GCM e de outras cifras AEAD. Isso permite que um invasor crie um texto cifrado único que, ao ser descriptografado, resulte em múltiplos resultados diferentes, particularmente em um ambiente com vários destinatários. A vulnerabilidade também possibilita ataques de vazamento de informações e falsificação de texto cifrado. Um invasor pode criar textos cifrados que, ao serem descriptografados, vazem o ID da conta AWS do usuário, o contexto de criptografia, o agente do usuário e o endereço IP. Além disso, um invasor pode criar textos cifrados que sejam aceitos por outros usuários. A propriedade de não comprometimento do AES-GCM pode causar textos em claro não idênticos ao descriptografar um único texto cifrado com duas chaves diferentes.

Atualize o AWS Encryption SDK para a versão 2.0.0 ou posterior para corrigir a vulnerabilidade. Esta nova versão inclui uma alteração significativa que resolve o problema. Recomenda-se que todos os usuários atualizem para esta versão para mitigar o risco de exploração.