偵測

Amazon Linux 2023:ecs-service-connect-agent (ALAS2023-2023-165)

critical Nessus Plugin ID 175073

語系:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,會受到 ALAS2023-2023-165 公告中所提及的多個弱點影響。

 - Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 之前版本中,用戶端可能會繞過 JSON Web Token (JWT) 檢查並偽造假的原始路徑。標頭 `x-envoy-original-path` 應為內部標頭,但從未受信任的用戶端傳送此標頭時,Envoy 不會在要求處理開始時將其從要求中移除。然後,偽造的標頭會被用於追蹤記錄檔和 grpc 記錄檔,還會用於 `jwt_authn` 使用的 URL 中,檢查是否使用了 `jwt_authn` 篩選器,以及任何其他上游使用了 x-envoy-original-path 標頭。攻擊者可偽造受信任的 `x-envoy-original-path` 標頭。1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 版包含此問題的修補程式。(CVE-2023-27487)

 - Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 之前版本中,如果為 `ext_authz` 篩選器設定了 `failure_mode_allow:true`,
 則可能觸發權限提升。對於用於記錄和/或可見度的受影響元件,接收服務可能不會記錄要求。如果將 Envoy 設定為使用 ext_authz、ext_proc、tap、ratelimit 篩選器和 grpc 存取記錄服務,在收到具有非 UTF-8 資料的 http 標頭時,Envoy 會產生無效的 protobuf 訊息並將其傳送至設定的服務。
 接收服務通常會在解碼 protobuf 訊息時產生錯誤。針對設定為「failure_mode_allow:true」的 ext_authz,在此情況下會允許此要求。
 對於其他服務,這可能會導致其他無法預期的錯誤,例如缺少對要求的可見度。從 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 版開始,Envoy 預設會將 gRPC 服務呼叫中傳送的值清理為有效的 UTF-8,並用 `! ` 字元取代無效的 UTF-8 資料。將運行時間防護 `envoy.reloadable_features.service_sanitize_non_utf8_strings` 設為 false,即可暫時還原此行為變更。作為因應措施,可以為`ext_authz` 設定 `failure_mode_allow: false`。(CVE-2023-27488)

 - Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。相容的 HTTP/1 服務應拒絕格式錯誤的要求行。在 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 之前版本中,不相容的 HTTP/1 服務可能允許格式錯誤的要求,進而可能導致安全性原則繞過問題。此問題已在 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 版中修正。(CVE-2023-27491)

 - Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.26.0、1.25.3、1.24.4、1.23.6和 1.22.9 之前版本中,Lua 篩選器容易遭受拒絕服務攻擊。攻擊者可針對啟用 Lua 篩選器的路由傳送大型要求內文,並觸發當機。從 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 版開始,如果已重設篩選器,Envoy 不會再叫用 Lua 協同程式。針對使用 Lua 篩選器緩衝所有要求/回應的使用者,有一個因應措施,即使用緩衝區篩選器來避免在 Lua 篩選器中觸發本機回覆。
 (CVE-2023-27492)

 - Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 之前版本中,Envoy 在產生要求標頭時不會清理或逸出要求屬性,這可導致標頭值中的非法字元被傳送至上游服務。在最壞的情況下,這可造成上游服務將原始要求解譯為兩個管線要求,進而可能繞過 Envoy 安全性原則的意圖。1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 版包含修補程式。因應措施是,停用根據下游要求屬性 (例如下游憑證屬性) 新增要求標頭。(CVE-2023-27493)

 - Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 之前版本中,OAuth 篩選器會假設任何類似 OAuth 重新導向回應的回應都有「state」查詢參數。使用等同於重新導向路徑的 URI 路徑向其傳送不包含 `state` 參數的要求,將導致 Envoy 處理程序異常終止。1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 版包含修補程式。鎖定 OAuth 流量、停用篩選器,或在流量到達 OAuth 篩選器之前進行篩選 (例如透過 lua 指令碼),也可減輕此問題的影響。(CVE-2023-27496)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update ecs-service-connect-agent --releasever 2023.0.20230503」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2023/ALAS-2023-165.html

https://alas.aws.amazon.com/cve/html/CVE-2023-27487.html

https://alas.aws.amazon.com/cve/html/CVE-2023-27488.html

https://alas.aws.amazon.com/cve/html/CVE-2023-27491.html

https://alas.aws.amazon.com/cve/html/CVE-2023-27492.html

https://alas.aws.amazon.com/cve/html/CVE-2023-27493.html

https://alas.aws.amazon.com/cve/html/CVE-2023-27496.html

https://alas.aws.amazon.com/faqs.html

Plugin 詳細資訊

嚴重性: Critical

ID: 175073

檔案名稱: al2023_ALAS2023-2023-165.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2023/5/3

已更新: 2023/5/4

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-27488

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:ecs-service-connect-agent, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/4/27

弱點發布日期: 2023/4/4

參考資訊

CVE: CVE-2023-27487, CVE-2023-27488, CVE-2023-27491, CVE-2023-27492, CVE-2023-27493, CVE-2023-27496