**Nome do software vulnerável e versões afetadas:

Versões do Encryption SDK anteriores à 1.9

Versões do Encryption SDK anteriores à 2.2

Descrição:

Este problema diz respeito ao tratamento do SDK de criptografia de mensagens assinadas em streaming e à restrição do processamento de certos tipos de mensagens inválidas. O SDK suporta um modo de streaming em que os chamadores podem transmitir o texto simples de mensagens assinadas antes que a assinatura ECDSA seja validada. Embora a integridade do texto cifrado ou do texto simples descriptografado não seja afetada, alguns chamadores podem confiar na assinatura ECDSA para fins de não repúdio. Sem validar a assinatura ECDSA, um agente com permissões KMS confiáveis para descriptografar uma mensagem também pode ser capaz de criptografar mensagens. A atualização introduz uma nova API para chamadores que desejam transmitir apenas mensagens não assinadas e uma nova configuração para limitar o número de Chaves de Dados Criptografados (EDKs) que o SDK tentará processar por mensagem.

Recomendações:

Para versões anteriores à 1.9, atualize para a versão 1.9 ou posterior para resolver esses problemas.

Para versões anteriores à 2.2, atualize para a versão 2.2 ou posterior para resolver esses problemas.

Os clientes que utilizam os recursos de streaming do SDK devem garantir que o código do cliente leia até o final do stream antes de usar o texto simples liberado.

Usar a nova API para streaming e recorrer à API de descriptografia sem streaming para mensagens assinadas impede o uso de qualquer texto simples de dados assinados antes que a assinatura seja validada.

Os usuários que processam mensagens do SDK de fontes não confiáveis devem usar a nova