Amazon Linux 2：ecs-service-connect-agent (ALASECS-2023-007)

critical Nessus Plugin ID 182066

語系：

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 ecs-service-connect-agent 版本低於 v1.27.0.0-1。因此，會受到 ALAS2ECS-2023-007 公告中所提及的多個弱點影響。

- Wasmtime 是適用於 WebAssembly 的獨立執行階段。在 6.0.2、7.0.1 和 8.0.1 版之前，Wasmtime 管理各執行個體狀態 (例如表格和記憶體) 的實作包含 LLVM 層級未定義的行為。據發現，此未定義的行為會在以 LLVM 16 編譯時造成執行階段層級問題，進而造成某些對於正確性至關重要的寫入操作遭到最佳化淘汰。已知以 Rust 1.70 編譯的 Wasmtime 版本 (目前為 beta 版或更新版本) 存在弱點，其具有錯誤編譯的函式。以目前 Rust 穩定版本、1.69 和更舊版本編譯的 wasmtime 版本目前尚不知道有任何問題，但理論上可能會出現潛在問題。潛在的問題是，執行個體的 Wasmtime 執行階段狀態涉及一個名為「Instance」的 Rust 定義結構，其後面有一個結尾是「VMContext」的結構。此「VMContext」結構具有每個模組唯一的執行階段定義配置。此表示法無法以 Rust 中的安全程式碼表示，因此需要「unsafe」程式碼來維護此狀態。不過，執行此作業的程式碼具有將「&self」作為引數，但會修改配置「VMContext」部分中的資料的方法。這表示衍生自「&self」的指標會發生變動。這通常是不允許的，除非在 Rust 中存在「UnsafeCell」。編譯至 LLVM 時，這些函式具有「noalias readonly」參數，這表示其 UB 可透過指標寫入。「VMContext」的 wasmtime 內部表示法和管理已更新為在適當情況下使用「&mut self」方法。Rust 中「unsafe」程式碼的其他驗證工具 (例如「cargo miri」) 計劃儘快在「main」分支上執行，以修正可能在未來編譯器版本中遭到惡意利用的所有 Rust 層級問題。來自 GitHub 版本，適用於 Wasmtime 的預先編譯二進位檔最多使用 LLVM 15 編譯，因此不清楚其是否會受到影響。不過，如上所述，我們仍建議使用者進行更新。已發布 6.0.2、7.0.1 和 8.0.1 版 wasmtime，其中包含在 LLVM 16 上正確運作所需的修補程式，且在 LLVM 15 和更舊版本上沒有已知的 UB。如果以 Rust 1.69 和更舊版本 (使用 LLVM 15) 編譯 wasmtime，則不會發生上述問題。不過，理論上仍存在惡意利用未定義行為的可能性，因此我們建議使用者升級至已修補的 Wasmtime 版本。使用 beta 版 Rust (目前為 1.70 版) 或夜間 Rust 版 (目前為 1.71 版) 的使用者必須更新至修補版本，才能正常使用。(CVE-2023-30624)

- c-ares 是一個非同步解析器程式庫。交叉編譯 c-ares 並使用 autotools 構建系統時，將不會設定 CARES_RANDOM_FILE，如交叉編譯 aarch64 android 時所出現的那樣。這將降級為使用 rand() 作為遞補，進而允許攻擊者不使用 CSPRNG 來利用缺少熵的情況。此問題已在 1.19.1 版中修補。(CVE-2023-31124)

- c-ares 是一個非同步解析器程式庫。 ares_inet_net_pton() 容易受到某些 ipv6 位址的緩衝區反向溢位影響，特別是 0：: 00: 00: 00/2 會造成問題。C-ares 僅在內部使用此函式進行組態，這會要求系統管理員透過 ares_set_sortlist() 設定此類位址。但是，使用者可能會從外部將 ares_inet_net_pton() 用於其他目的，因此容易受到更嚴重的問題影響。此問題已在 1.19.1 中修正。(CVE-2023-31130)

- c-ares 是一個非同步解析器程式庫。當 /dev/urandom 或 RtlGenRandom() 不可用時，c-ares 會使用 rand() 產生用於 DNS 查詢 ID 的隨機數。這不是 CSPRNG，也不是由 srand() 植入，因此會產生可預測的輸出。來自亂數產生器的輸入會饋送到不相容的 RC4 實作中，且可能不如原始 RC4 實作強。其不會嘗試尋找現代作業系統提供的 CSPRNG，例如可廣泛使用的 arc4random()。 1.19.1 版已修正此問題。(CVE-2023-31147)

- c-ares 是一個非同步解析器程式庫。c-ares 容易遭受拒絕服務攻擊。如果目標解析器傳送查詢，攻擊者會偽造長度為 0 的格式錯誤的 UDP 封包，並將其傳回目標解析器。目標解析器錯誤地將 0 長度解譯為連線的正常關閉。此問題已在 1.19.1 版中修正。(CVE-2023-32067)

- Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 之前版本中，惡意用戶端能夠在某些特定情況下建構永久有效的憑證。這是因為在少數情況下，HMAC 承載在 OAuth2 篩選器檢查中總是有效。1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 版包含針對此問題的修復程式。因應措施為避免在主機的網域設定中使用萬用字元/前置詞網域。(CVE-2023-35941)

- Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 之前版本中，使用接聽程式全域範圍的 gRPC 存取記錄器可在接聽程式耗盡時造成「釋放後使用」當機。1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 版包含針對此問題的修復程式。因應措施為停用 gRPC 存取記錄或停止更新接聽程式。
(CVE-2023-35942)

- Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。在 1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 之前版本中，當移除「decodeHeaders」和「encodeHeaders」之間的「origin」標頭時，CORS 篩選器會發生區段錯誤並造成 Envoy 損毀。1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 版包含針對此問題的修復程式。因應措施為不移除 Envoy 設定中的「origin」標頭。(CVE-2023-35943)

- Envoy 是一種專為雲端原生應用程式設計的開放原始碼邊緣和服務 Proxy 伺服器。Envoy 允許 HTTP/2 中使用混合大小寫的配置，不過，部分內部配置檢查會區分大小寫。在 1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 之前版本中，這可導致程式拒絕包含混合大小寫配置 (例如「htTp」或「htTps」) 的要求，或略過未加密連線中的某些要求，例如「https」。
透過 1.27.0、1.26.4、1.25.9、1.24.10 和 1.23.12 版中的修正程式，Envoy 現在會依預設使用小寫配置值，並將區分大小寫的內部配置檢查變更為不區分大小寫。
目前沒有任何因應措施可解決此問題。(CVE-2023-35944)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。