Amazon Linux 2:golang (ALAS-2022-1811)

critical Nessus Plugin ID 163229

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 golang 版本早於 1.16.15-1。因此,會受到 ALAS2-2022-1811 公告中所提及的多個弱點影響。

在 golang 中發現一個無限迴圈弱點。如果應用程式定義了使用 `xml.NewTokenDecoder` 初始化的自訂 token 剖析器,則剖析迴圈可能永遠不會傳回。攻擊者可能特製含有內含「EOF」之 XML 元素的惡意 XML 文件,造成剖析應用程式無限迴圈,進而導致拒絕服務 (DoS)。 (CVE-2021-27918)

在 1.16.x 之前的 Go 1.16.1 中,封存/zip 允許攻擊者在嘗試針對 ZIP 封存 (其中 ../ 出現在任何檔案名稱的開頭) 使用 Reader.Open API 時,造成拒絕服務 (不穩定)。 (CVE-2021-27919)

在 Go 中發現一個瑕疵。net 套件中的 LookupCNAME、LookupSRV、LookupMX、LookupNS 和 LookupAddr 函式以及解析器類型的方法,可能會傳回從 DNS 擷取的任意值,進而允許插入非預期的內容。此弱點的最高威脅是完整性。
(CVE-2021-33195)

在 Go 中發現一個缺陷,其會作為非預定的 proxy 或中繼,如果第一個標頭為空,則 ReverseProxy 會轉送連線標頭。此瑕疵允許攻擊者放置任意標頭。此弱點對完整性的威脅最大。(CVE-2021-33197)

在 Go 中發現一個瑕疵,其會嘗試配置過量記憶體。如果傳送具有非常大指數的輸入,此問題可能會造成不穩定或無法復原的嚴重錯誤。此弱點對系統可用性威脅最大。(CVE-2021-33198)

在 Go 中發現一個爭用情形瑕疵。傳入的要求內文在處置程式錯誤後並未關閉,因此可導致 ReverseProxy 損毀。此弱點的最高威脅是可用性。 (CVE-2021-36221)

在 golang 中發現一個驗證瑕疵。從使用 GOARCH=wasm GOOS=js 構建的 WASM 模組叫用函式時,如果傳送極大引數,可能會導致模組的部分內容被引數中的資料覆寫。此弱點對完整性的威脅最大。(CVE-2021-38297)

在 Go 標準程式庫的 archive/zip 中發現一個弱點。以 Go 撰寫的應用程式在剖析格式錯誤的 ZIP 檔案時,會發生錯誤或可能耗盡系統記憶體。攻擊者若能將特製的 ZIP 檔案提交至使用 archive/zip 處理該檔案的 Go 應用程式,就可透過記憶體耗盡或不穩定,造成拒絕服務。此特定瑕疵是先前瑕疵的不完整修正。
(CVE-2021-39293)

在 Go 標準程式庫的 debug/macho 中發現一個超出邊界讀取弱點。使用 debug/macho 標準程式庫 (stdlib) 並且使用 Open 或 OpenFat 剖析格式錯誤的二進位時,可造成 golang 嘗試讀取片段 (陣列) 外部,造成呼叫 ImportedSymbols 時發生錯誤。
攻擊者可利用此弱點製作檔案,造成使用此程式庫的應用程式損毀,進而導致拒絕服務。(CVE-2021-41771)

在 Go 標準程式庫的 archive/zip 中發現一個弱點。以 Go 撰寫的應用程式在其中剖析含有完全無效名稱或空白檔案名稱引數的特製 ZIP 封存時,Reader.Open (實作 Go 1.16中引入的 io/fs.FS 的 API) 會發生錯誤。(CVE-2021-41772)

canonicalHeader() 函式中 golang 的 net/http 程式庫有一個不受控制的資源消耗瑕疵。如果攻擊者將特製要求提交至與 net/http 的 http2 功能連結的應用程式,可造成過度消耗資源,進而導致拒絕服務或以其他方式影響系統效能和資源。(CVE-2021-44716)

golang 的 syscall.ForkExec() 介面中有一個瑕疵。攻擊者若設法先造成處理程序的檔案描述符耗盡,然後造成重複呼叫 syscall.ForkExec(),可在與 syscall.ForkExec() 連結的程式中使用 syscall.ForkExec( ),以某種不受控制的方式損害資料完整性和/或機密性。(CVE-2021-44717)

在 1.16.14 之前的 Go 和 [] 之前的 1.17.x1.17.7 中,math/big 中的 Rat.SetString 有一個可導致不受控制的記憶體消耗的溢位。 (CVE-2022-23772)

Go 1.16.14 之前的 [] 和 1.17.x 之前的 1.17.7 中的 cmd/go 可錯誤解譯誤以為是版本標籤的分支名稱。如果執行者能夠建立分支,但不能建立標籤,此弱點有可能會導致不正確的存取控制問題。(CVE-2022-23773)

在 Go 之前版本 1.16.14 和 1.17.x 之前的 1.17.7 中,crypto/elliptic 的 Curve.IsOnCurve 在 big.Int 值不是有效欄位元素的情況下,可能會錯誤地傳回 true。 (CVE-2022-23806)

在 Golang 的 regexp 模組中發現一個堆疊溢位瑕疵,如果使用 regexp 的應用程式接受來自具有足夠巢狀深度的不受信任來源的非常長或任意長的 regexp,則可使運行時間損毀。若要惡意利用此弱點,攻擊者需要將具有深層巢狀結構的大型 regexp 傳送至應用程式。觸發此瑕疵會導致運行時間損毀,進而造成拒絕服務。 (CVE-2022-24921)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「yum update golang」以更新系統。

另請參閱

https://alas.aws.amazon.com/cve/html/CVE-2021-27918.html

https://alas.aws.amazon.com/cve/html/CVE-2021-27919.html

https://alas.aws.amazon.com/cve/html/CVE-2021-33195.html

https://alas.aws.amazon.com/cve/html/CVE-2021-33197.html

https://alas.aws.amazon.com/cve/html/CVE-2021-33198.html

https://alas.aws.amazon.com/cve/html/CVE-2021-36221.html

https://alas.aws.amazon.com/cve/html/CVE-2021-38297.html

https://alas.aws.amazon.com/cve/html/CVE-2021-39293.html

https://alas.aws.amazon.com/cve/html/CVE-2021-41771.html

https://alas.aws.amazon.com/cve/html/CVE-2021-41772.html

https://alas.aws.amazon.com/cve/html/CVE-2021-44716.html

https://alas.aws.amazon.com/cve/html/CVE-2021-44717.html

https://alas.aws.amazon.com/cve/html/CVE-2022-23772.html

https://alas.aws.amazon.com/cve/html/CVE-2022-23773.html

https://alas.aws.amazon.com/cve/html/CVE-2022-23806.html

https://alas.aws.amazon.com/cve/html/CVE-2022-24921.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/AL2/ALAS-2022-1811.html

Plugin 詳細資訊

嚴重性: Critical

ID: 163229

檔案名稱: al2_ALAS-2022-1811.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2022/7/15

已更新: 2025/4/11

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2021-38297

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-src, p-cpe:/a:amazon:linux:golang-race, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/7/6

弱點發布日期: 2021/10/18

參考資訊

CVE: CVE-2021-27918, CVE-2021-27919, CVE-2021-33195, CVE-2021-33197, CVE-2021-33198, CVE-2021-36221, CVE-2021-38297, CVE-2021-39293, CVE-2021-41771, CVE-2021-41772, CVE-2021-44716, CVE-2021-44717, CVE-2022-23772, CVE-2022-23773, CVE-2022-23806, CVE-2022-24921

IAVB: 2021-B-0069-S, 2022-B-0008-S, 2022-B-0011-S