Amazon Linux 2023:golang、golang-bin、golang-misc (ALAS2023-2024-629)
high Nessus Plugin ID 197969
語系:
概要
遠端 Amazon Linux 2023 主機缺少一個安全性更新。說明
因此,會受到 ALAS2023-2024-629 公告中所提及的多個弱點影響。攻擊者可透過傳送過量的 CONTINUATION 框架,造成 HTTP/2 端點讀取任意數量的標頭資料。系統需要剖析並處理連線上的所有 HEADERS 和 CONTINUATION 框架才能維持 HPACK 狀態。若要求的標頭超過 MaxHeaderBytes,系統不會配置記憶體來儲存多餘的標頭,但仍會剖析這些標頭。這允許攻擊者造成 HTTP/2 端點讀取任意數量的標頭資料,所有資料都與即將遭到拒絕的要求相關。這些標頭可能包含經過 Huffman 編碼的資料,接收者解碼這些資料的成本遠高於攻擊者傳送的成本。此修正會針對我們在關閉連線之前需要處理的多餘標頭框架設定數量限制。(CVE-2023-45288)
跟隨 HTTP 重新導向至不符合子網域的網域或不完全符合初始網域的網域時,http.Client 不會轉送敏感標頭,例如 Authorization 或 Cookie。例如,從 foo.com 重新導向至 www.foo.com 會轉送授權標頭,但重新導向至 bar.com 則不會。惡意的特質 HTTP 重新導向可導致意外轉送敏感標頭。(CVE-2023-45289)
剖析多部分表單時 (使用 Request.ParseMultipartForm 明確,或使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 隱含),對剖析表單總大小的限制未套用至讀取單一表單時所消耗的記憶體表單行。此動作會允許含有極長行的惡意特製輸入造成配置任意大量記憶體,進而可能導致記憶體耗盡。透過修正,ParseMultipartForm 函式現在會正確限製表單行的大小上限。(CVE-2023-45290)
使用不明公用金鑰算法驗證含有憑證的憑證鏈時,會造成 Certificate.Verify 發生錯誤。這會影響所有 crypto/tls 用戶端,以及將 Config.ClientAuth 設為 VerifyClientCertIfGiven 或 RequireAndVerifyClientCert 的伺服器。TLS 伺服器的預設行為是不驗證用戶端憑證。(CVE-2024-24783)
ParseAddressList 函式未正確處理顯示名稱內的註解 (括號內的文字)。
由於此操作不符合一致性位址剖析器的要求,或會導致使用不同剖析器的程式做出不同的信任決策。(CVE-2024-24784)
如果從 MarshalJSON 方法傳回的錯誤包含使用者控制的資料,這些錯誤可用來中斷 html/template 套件的內容相關自動逸出行為,進而允許後續動作將未預期的內容插入範本。(CVE-2024-24785)
Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「dnf update golang --releasever 2023.4.20240528」以更新系統。另請參閱
https://alas.aws.amazon.com/AL2023/ALAS-2024-629.html
https://alas.aws.amazon.com/cve/html/CVE-2023-45288.html
https://alas.aws.amazon.com/cve/html/CVE-2023-45289.html
https://alas.aws.amazon.com/cve/html/CVE-2023-45290.html
https://alas.aws.amazon.com/cve/html/CVE-2024-24783.html
https://alas.aws.amazon.com/cve/html/CVE-2024-24784.html
Plugin 詳細資訊
嚴重性: High
ID: 197969
檔案名稱: al2023_ALAS2023-2024-629.nasl
版本: 1.3
類型: local
代理程式: unix
已發布: 2024/5/28
已更新: 2024/8/6
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: High
基本分數: 7.8
時間分數: 6.1
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 評分資料來源: CVE-2024-24785
CVSS v3
風險因素: High
基本分數: 7.5
時間分數: 6.7
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2024-24784
弱點資訊
CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-src, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc, cpe:/o:amazon:linux:2023
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2024/5/23
弱點發布日期: 2024/3/5
參考資訊
CVE: CVE-2023-45288, CVE-2023-45289, CVE-2023-45290, CVE-2024-24783, CVE-2024-24784, CVE-2024-24785
IAVB: 2024-B-0020-S, 2024-B-0032-S