CVE-2020-8911

AWS S3 Crypto SDK para GoLang, versões anteriores à V2

Existe uma vulnerabilidade do tipo “padding oracle” no AWS S3 Crypto SDK para GoLang, permitindo que um invasor com acesso de gravação ao bucket S3 do alvo e a capacidade de observar falhas de descriptografia reconstrua o texto simples por meio de um número significativo de consultas ao endpoint. Isso é conseguido explorando a capacidade do CBC de manipular os bytes do próximo bloco e os erros de preenchimento do PKCS5. A vulnerabilidade representa riscos internos e de escalonamento de privilégios, podendo contornar os controles do KMS para dados armazenados.

Atualize o SDK para a versão 2 ou posterior e recriptografe os arquivos para mitigar o risco. Para arquivos criptografados com o modo CBC em versões mais antigas, recriptografe-os com AES-GCM para resolver o problema. O uso da versão 2 do SDK de criptografia S3 impedirá a criação de novos arquivos vulneráveis, mas os arquivos antigos permanecerão vulneráveis até que sejam recriptografados.