تتوافق المعطيات التقنية الأخيرة مع إعلان شركة Amazon عن رصد 3 ثغرات أمنية حرجة في مكتبة التشفير مفتوحة المصدر AWS-LC، وهي المكون البرمجي المسؤول عن عمليات التشفير والتوقيع الرقمي والتحقق من الهوية. تحمل هذه الثغرات المعرفات CVE-2026-3336 وCVE-2026-3337 وCVE-2026-3338، وتستهدف بشكل مباشر مسارات الثقة الرقمية داخل التطبيقات التي تدمج هذه المكتبة في شيفراتها المصدرية.
تفاصيل الثغرات الفنية
تتركز الخطورة في الثغرة CVE-2026-3336 التي تسمح بتجاوز التحقق من سلسلة الشهادات (Certificate Chain) عند استخدام الدالة PKCS7_verify، حيث تكمن المشكلة في عدم تطبيق التحقق بشكل صحيح على كامل السلسلة في حال وجود موقعين متعددين، الأمر الذي يفتح الباب لقبول مسارات ثقة غير مكتملة.
وتتصل الثغرة CVE-2026-3338 بخلل في التحقق من التوقيع داخل الكائنات التي تتضمن خصائص موثقة)، حيث ينجح مهاجم غير مفوض في تجاوز آليات الفحص، ويهدد ذلك سلامة المحتوى عبر تمرير بيانات قد تكون تعرضت للعبث.
تأتي الثغرة CVE-2026-3337 بنمط مختلف يعتمد على القنوات الجانبية الزمنية (Timing Side-Channel) في نظام تشفير AES-CCM، وهو نمط يوفر التشفير والمصادقة معاً. تظهر المشكلة عبر وجود فروقات زمنية دقيقة وقابلة للقياس أثناء عملية فك التشفير والتحقق من وسم المصادقة، ويستطيع المهاجم استنتاج صلاحية الوسم عبر تحليل وقت الاستجابة في البيئات التي تسمح بقياسات زمنية عالية الدقة.
نطاق التأثير وإجراءات الاستجابة المطلوبة
أكدت التحديثات الفنية الصادرة عن AWS أن الخدمات السحابية الخاصة بالشركة لم تتأثر بهذه العيوب، وأن المخاطر تنحصر في المطورين والمؤسسات التي تدمج مكتبة AWS-LC أو الحزم المرتبطة بها مثل aws-lc-sys مباشرة في منتجاتها. تشمل الإصدارات المتأثرة بالثغرات المتعلقة بالدالة PKCS7_verify النسخ من v1.41.0 إلى ما قبل v1.69.0، بينما يمتد نطاق التأثير في ثغرة AES-CCM ليشمل نسخاً أقدم تبدأ من v1.21.0.
أوضحت الشركة عدم وجود حلول مؤقتة لمعالجة ثغرتي تجاوز التحقق من الشهادات والتواقيع، ويبقى المسار الوحيد لتأمين التطبيقات هو الترقية الفورية إلى الإصدارات المصححة. تتضمن النسخ الآمنة الإصدار AWS-LC v1.69.0 والإصدار aws-lc-sys v0.38.0، بالإضافة إلى تحديثات خاصة بنسخ FIPS في الإصدارين AWS-LC-FIPS-3.2.0 وaws-lc-sys-fips v0.13.12.
تداعيات الثغرات على أمن العمليات الرقمية
تعتبر مكتبة AWS-LC جزءاً جوهرياً من مكدس التشفير الحديث، وتؤثر هذه الثغرات على قرارات الثقة المتعلقة بالبيانات الموقعة رقمياً والملفات والرسائل المشفرة. تقع مسؤولية التحديث على عاتق فرق أمن التطبيقات وإدارة الاعتماديات البرمجية، لضمان عدم قبول محتوى غير موثوق أو تسريب إشارات جانبية يمكن استغلالها في بيئات التشغيل الحساسة التي تعتمد على قياسات الزمن الدقيقة.
يؤدي إهمال التحديث إلى وضع سلامة البيانات تحت تهديد مستمر، خاصة في الأنظمة التي تعتمد على معيار PKCS#7 للتحقق من الهوية الرقمية. يساهم الانتقال السريع إلى النسخ الجديدة في غلق الثغرات التي كشفت عنها شركة AISLE بالتنسيق مع Amazon، ويضمن استمرارية حماية سلاسل التوريد البرمجية من الهجمات التي تستهدف نقاط الضعف في بروتوكولات التحقق من التشفير.
