漏洞详情

依赖项警报: 0

包 composer aws/aws-sdk-php (Composer)

受影响版本 < 3.368.0

已修复版本 3.368.0

描述

摘要 S3 Encryption Client for PHP 是一个开源客户端加密库，用于方便地向 S3 写入和读取加密记录。 当加密数据密钥存储在"指令文件"中而不是 S3 的元数据记录中时，EDK 会暴露于"隐形蝾螈"攻击（https://eprint.iacr.org/2019/016），这可能允许将 EDK 替换为新密钥。

影响 背景 - 密钥承诺 存在一种加密特性，即在某些条件下，单个密文可以通过使用不同的加密密钥解密成两个不同的明文。为了解决这个问题，强加密方案使用所谓的"密钥承诺"，这是一个过程，通过该过程，加密消息只能由一个密钥（最初用于加密消息的密钥）解密。 在 S3EC 的旧版本中，当客户还使用名为"指令文件"的功能来存储 EDK 时，密钥承诺未被实现，因为多个 EDK 可能与底层加密消息对象相关联。对于此类客户，利用缺乏密钥承诺的攻击是可能的。恶意行为者需要两件事来利用此问题：(i) 能够创建一个单独的、恶意的 EDK，该 EDK 也将解密底层对象以产生期望的明文；(ii) 拥有将新指令文件上传到 S3 存储桶以替换用户使用 S3C 放置在那里的现有指令文件的权限。任何未来尝试使用 S3EC 解密底层加密消息的操作都将无意中使用恶意 EDK 来产生有效的明文消息。 受影响版本: <= 3.367.0

补丁 我们正在向 S3EC 引入"密钥承诺"的概念，其中 EDK 以加密方式绑定到密文，以解决此问题。为了保持对传输中消息的兼容性，我们分两个版本发布修复。一个是代码兼容的次要版本，可以读取具有密钥承诺的消息但不能写入；另一个是新的主要版本，既可以读取也可以写入具有密钥承诺的消息。为了获得最大安全性，建议客户升级到最新的主要版本：3.368.0 或更高版本。

变通方案 没有变通方案，请升级到建议的 S3EC 版本。

参考 如果客户对此公告有任何疑问或意见，AWS SDK for PHP 要求他们通过问题报告页面或直接通过电子邮件 aws-security@amazon.com 联系 AWS 安全部门。请不要创建公共 GitHub 问题。

参考链接

• GHSA-x8cp-jf6f-r4xh
• https://nvd.nist.gov/vuln/detail/CVE-2025-14761
• aws/aws-sdk-php@6827cac
• https://aws.amazon.com/security/security-bulletins/AWS-2025-032
• https://github.com/aws/aws-sdk-php/releases/tag/3.368.0
• https://github.com/FriendsOfPHP/security-advisories/blob/master/aws/aws-sdk-php/CVE-2025-14761.yaml

严重程度：中等 CVSS 总体评分：6.0 CVSS v4 基础指标 CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

EPSS 评分：0.013% (第 1 百分位)

弱点 弱点 ID: CWE-327 描述: 使用损坏或有风险的加密算法 该产品使用损坏或有风险的加密算法或协议。在 MITRE 上了解更多信息。

CVE ID: CVE-2025-14761 GHSA ID: GHSA-x8cp-jf6f-r4xh 源代码: aws/aws-sdk-php

此公告已被编辑。查看历史记录。