Amazon Linux 2023：amazon-cloudwatch-agent (ALAS2023-2024-708)

medium Nessus Plugin ID 206817

語系：

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，會受到 ALAS2023-2024-708 公告中所提及的多個弱點影響。

Azure Identity Libraries 和 Microsoft Authentication Library 權限提升弱點 (CVE-2024-35255)

OpenTelemetry Collector 針對如何接收、處理和匯出遙測資料，提供與供應商無關的實作。不安全的解壓縮弱點允許未經驗證的攻擊者透過記憶體過度消耗來造成收集器損毀。OTel Collector 0.102.1 版已修復此問題。此問題也已在 confighttp 模組 0.102.0 版和 configgrpc 模組 0.102.1 版中修復。(CVE-2024-36129)

AWS 已註意到 CVE-2024-41110，這是 Amazon Linux 的 docker 套件中會影響 Moby 開放原始碼專案的問題。Docker 是包含數個開放原始碼容器管理系統的元件。

此問題不會影響 docker 伺服器的預設設定。如果啟用了授權外掛程式，則針對 docker 程序特製的 API 要求將被轉送至授權外掛程式，其轉送方式可能導致權限提升等非預期動作。啟用授權外掛程式是非典型設定。在預設、典型或建議的設定中，受影響的 API 端點不會洩漏給網路。預設的 EKS 和 ECS 設定不會將 API 端點洩漏給網路。使用 ECS 時，不支援啟用 docker 授權外掛程式。最後，docker 未安裝在比 1.24 新的 EKS AMI 上。雖然 docker 已安裝在 EKS 1.24 和更舊版本中，但 EKS 不支援授權外掛程式。

為解決問題而更新的 docker 套件適用於 Amazon Linux 2 (docker-20.10.25-1.amzn2.0.5 和 docker-25.0.6-1.amzn2.0.1) 和 Amazon Linux 2023 (docker-25.0.6-1amzn2023.0.1)。AWS 建議使用 docker 的客戶升級至這些版本或更新版本。(CVE-2024-41110)

0.7.7 之前的 go-retryablehttp 未在將 url 寫入其記錄檔時對其進行清理，這可導致 go-retryablehttp 將敏感的 HTTP 基本驗證認證寫入其記錄檔。此弱點 CVE-2024-6104 已在 go-retryablehttp 0.7.7 中修正。(CVE-2024-6104)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。