Amazon Linux 2：amazon-cloudwatch-agent (ALAS-2025-2904)

medium Nessus Plugin ID 240451

語言:

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 amazon-cloudwatch-agent 版本低於 1.300055.3-1。因此，會受到 ALAS2-2025-2904 公告中所提及的多個弱點影響。

tokenizer 將具有以 solidus 字元 (/) 結尾的不具引號的屬性值的標籤錯誤解譯為自動結束。直接使用 Tokenizer 時，可能會導致這些標籤不正確地標記為自我結束，而使用 Parse 函式時，可能會導致在 DOM 建構期間，將標籤後面的內容放置在錯誤的範圍內，但只有在標籤自動結束時才會出現。在外部內容 (例如
<math>、<svg> 等內容)。

經過分析，我們判斷 2025-22872 不會對 Amazon Linux 2 或 Amazon Linux 2023 上的 docker 或 containerd 構成安全性風險。使用 govulncheck 的原始程式碼分析已確認這些套件並未包含有弱點的程式碼。因此，AL2 和 AL2023 中的這些特定套件不需要安全性修補程式。(CVE-2025-22872)

使用含有 ExtKeyUsageAny 的 VerifyOptions.KeyUsages 呼叫 Verify 時，意外停用了原則驗證。這只會影響包含原則圖形的憑證鏈，此情形相當罕見。
(CVE-2025-22874)

Proxy-Authorization 和 Proxy-Authenticate 標頭持續存在於跨來源重新導向上，可能會洩漏敏感資訊。 (CVE-2025-4673)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。