Amazon Linux 2023：amazon-cloudwatch-agent (ALAS2023-2025-968)

high Nessus Plugin ID 235902

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，會受到 ALAS2023-2025-968 公告中所提及的多個弱點影響。

net/http 套件接受區塊傳輸編碼中的資料，其中包含由純 LF 終止的無效區塊大小行。當與將區塊延伸模組中的純 LF 不正確解譯為延伸模組一部分的伺服器或代理伺服器搭配使用時，這可允許要求走私。
(CVE-2025-22871)

Expr 是適用於 Go 的運算式語言和運算式評估。在 1.17.0版之前，如果 Expr 運算式剖析器獲得無限制的輸入字串，它會嘗試編譯整個字串，並針對運算式的每個部分產生抽象語法樹 (AST) 節點。在輸入大小不受限制的情況下，當剖析器構建巨大的 AST 時，惡意或意外的極大運算式可消耗過量記憶體。這最終可導致*過度使用記憶體，以及處理程序發生記憶體不足 (OOM) 損毀。此問題相對不常見，且只會在輸入大小沒有限制時才會出現，亦即允許運算式長度增長到任意大。在輸入有邊界或經過驗證的典型使用案例中，不會發生此問題。此問題已在最新版的 Expr 程式庫中修補。修正在剖析期間引入 AST 節點數和記憶體使用量的編譯時間限制，防止任何單一運算式耗盡資源。使用者應升級至 Expr 1.17.0 版或更新版本，因為此版本包含新的節點預算和記憶體限制保護機制。升級至 v1.17.0 可確保在編譯期間偵測到極深或極大的運算式並安全地中止，進而避免 OOM 情形。對於無法立即升級的使用者，建議的因應措施是在剖析前施加輸入大小限制。實際上，這表示驗證或限制您的應用程式將接受的運算式字串長度。例如，為任何運算式設定字元 (或節點) 的最大允許數，並拒絕或截斷超過此限制的輸入。藉由確保沒有任何無限長度的運算式饋送至剖析器，可防止剖析器建構病態的大型 AST，並避免潛在的記憶體耗盡。總而言之，預先驗證並設定輸入大小上限，作為缺少修補程式時的保護措施。
(CVE-2025-29786)

golang-jwt 是 JSON Web Token 的 Go 實作。在 5.2.2 和 4.5.2之前的版本中，parse.ParseUnverified 函式會 (透過對於 strings.Split 的呼叫) 分割其關於句點的引數 (未受信任的資料)。因此，如果惡意要求的授權標頭是由 Bearer 後面接著許多句號字元所組成時，對該函式的呼叫會造成 O(n) 位元組的配置 (其中 n 代表函式引數的長度)，常數因數約為 16。此問題已在 5.2.2 和 4.5.2 中修正。(CVE-2025-30204)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。