Amazon Linux 2023:golang、golang-bin、golang-misc (ALAS2023-2025-1239)
high Nessus Plugin ID 271742
語言:
概要
遠端 Amazon Linux 2023 主機缺少一個安全性更新。說明
因此,會受到 ALAS2023-2025-1239 公告中所提及的多個弱點影響。net/url未充分驗證括弧中的 IPv6 主機名稱
Parse 函式允許將 IPv6 位址以外的值包含在 URL 主機元件的方括弧中。RFC 3986 允許將 IPv6 位址包含在主機元件內並用方括弧括起來。例如http://[::1]/。IPv4 位址和主機名稱不得出現在方括弧內。Parse 並未強制執行此需求。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75678NOTE:
https://github.com/golang/go/commit/9fd3ac8a10272afd90312fef5d379de7d688a58e (go1.25.2)注意
https://github.com/golang/go/commit/d6d2f7bf76718f1db05461cd912ae5e30d7b77ea (go1.24.8) (CVE-2025-47912)
archive/tar剖析 GNU sparse 地圖時的無限製配置
tar.Reader 並未在 GNU tar pax 1.0 sparse 檔案中的疏鬆區域資料區塊數上設定大小上限。包含大量疏鬆區域的惡意特製封存可造成 Reader 將無限量的資料從封存讀取到記憶體中。從壓縮來源讀取時小型的壓縮輸入可導致大型配置。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75677NOTE:
https://github.com/golang/go/commit/2612dcfd3cb6dd73c76e14a24fe1a68e2708e4e3 (go1.25.2)注意
https://github.com/golang/go/commit/613e746327381d820759ebea6ce722720b343556 (go1.24.8) (CVE-2025-58183)
編碼/asn1剖析 DER 承載時預先配置記憶體可造成記憶體耗盡
剖析 DER 承載時會在完整驗證承載之前配置記憶體。這會允許攻擊者特製大型的空 DER 承載在 asn1.Unmarshal、x509.ParseCertificateRequest 和 ocsp.ParseResponse 等函式中造成記憶體耗盡。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75671NOTE:
https://github.com/golang/go/commit/e0f655bf3f96410f90756f49532bc6a1851855ca (go1.25.2)注意
https://github.com/golang/go/commit/5c3d61c886f7ecfce9a6d6d3c97e6d5a8afb17d1 (go1.24.8) (CVE-2025-58185)
net/http剖析 cookie 時缺少限制會造成記憶體耗盡
儘管 HTTP 標頭具有 1 MB 的預設限制可剖析的 cookie 數量沒有限制。攻擊者可傳送大量非常小的 cookie (例如 a=;)讓 HTTP 伺服器配置大量造成大量記憶體消耗。
net/http 現已將接受的 Cookie 數量限制為 3000這可使用 httpcookiemaxnum GODEBUG 選項進行調整。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75672NOTE:
https://github.com/golang/go/commit/100c5a66802b5a895b1d0e5ed3b7918f899c4833 (go1.25.2)注意
https://github.com/golang/go/commit/c6b04dd33b0215f5deb83724661921842bf67607 (go1.24.8) (CVE-2025-58186)
crypto/x509檢查名稱限制時的二次方復雜度
由於名稱限制檢查演算法的設計某些輸入的處理時間會隨著憑證大小而呈非線形增加。
這會影響驗證任意憑證鏈的程式。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75681NOTE:
https://github.com/golang/go/commit/f0c69db15aae2eb10bddd8b6745dff5c2932e8f5 (go1.25.2)注意
https://github.com/golang/go/commit/f334417e71f8b078ad64035bddb6df7f8910da6c (go1.24.8) (CVE-2025-58187)
crypto/x509使用 DSA 公開金鑰驗證憑證時發生錯誤
驗證包含 DSA 公開金鑰的憑證鏈可能導致程式發生錯誤這是因為介面轉換假設其實作 Equal 方法所致。
這會影響驗證任意憑證鏈的程式。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75675NOTE:
https://github.com/golang/go/commit/930ce220d052d632f0d84df5850c812a77b70175 (go1.25.2)注意
https://github.com/golang/go/commit/f9f198ab05e3282cbf6b13251d47d9141981e401 (go1.24.8) (CVE-2025-58188)
crypto/tlsALPN 交涉錯誤可包含任意文字
ALPN 交涉失敗時crypto/tls conn.Handshake 方法會在伺服器端傳回錯誤其中可能包含連線用戶端所提供且未逸出由攻擊者控制的任意資訊。
這會影響在沒有任何其他形式清理的情況下記錄這些錯誤的程式且可能允許攻擊者將控制的資訊插入記錄中。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75652NOTE:
https://github.com/golang/go/commit/205d0865958a6d2342939f62dfeaf47508101976 (go1.25.2)注意
https://github.com/golang/go/commit/2e1e356e33b9c792a9643749a7626a1789197bb9 (go1.24.8) (CVE-2025-58189)
編碼/pem剖析某些無效輸入時的二次方復雜度
由於 PEM 剖析函式的設計某些輸入的處理時間會相對於輸入的大小呈非線性增長。
這會影響剖析未受信任之 PEM 輸入的程式。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75676NOTE:
https://github.com/golang/go/commit/90f72bd5001d0278949fab0b7a40f7d8c712979b (go1.25.2)注意
https://github.com/golang/go/commit/74d4d836b91318a8764b94bc2b4b66ff599eb5f2 (go1.24.8) (CVE-2025-61723)
net/textprotoReader.ReadResponse 中過度消耗 CPU
Reader.ReadResponse 函式透過重複的字串串連建構回應字串。當回應中的行數很大時可造成過度消耗 CPU。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75716NOTE:
https://github.com/golang/go/commit/5d7a787aa2b486f77537eeaed9c38c940a7182b8 (go1.25.2)注意
https://github.com/golang/go/commit/a402f4ad285514f5f3db90516d72047d591b307a (go1.24.8) (CVE-2025-61724)
net/mailParseAddress 中 CPU 過度消耗
ParseAddress 函式透過重複的字串串連建構網域常值位址元件。剖析大型 domain-literal 元件時可造成 CPU 過度消耗。
注意:https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI/m/qZN5nc-mBgAJNOTE:
https://github.com/golang/go/issues/75680NOTE:
https://github.com/golang/go/commit/6a057327cf9a405e6388593dd4aedc0d0da77092 (go1.25.2)注意
https://github.com/golang/go/commit/bc6981fd74024098185a23ba3a83a81ed68a06c9 (go1.24.8) (CVE-2025-61725)
Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「dnf update golang --releasever 2023.9.20251027」或 或「dnf update --advisory ALAS2023-2025-1239 --releasever 2023.9.20251027」以更新系統。另請參閱
https://alas.aws.amazon.com//AL2023/ALAS2023-2025-1239.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2025-47912.html
https://explore.alas.aws.amazon.com/CVE-2025-58183.html
https://explore.alas.aws.amazon.com/CVE-2025-58185.html
https://explore.alas.aws.amazon.com/CVE-2025-58186.html
https://explore.alas.aws.amazon.com/CVE-2025-58187.html
https://explore.alas.aws.amazon.com/CVE-2025-58188.html
https://explore.alas.aws.amazon.com/CVE-2025-58189.html
https://explore.alas.aws.amazon.com/CVE-2025-61723.html
Plugin 詳細資訊
嚴重性: High
ID: 271742
檔案名稱: al2023_ALAS2023-2025-1239.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2025/10/28
已更新: 2025/10/28
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: High
基本分數: 8.5
時間性分數: 6.3
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:C
CVSS 評分資料來源: CVE-2025-47912
CVSS v3
風險因素: High
基本分數: 8.2
時間性分數: 7.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc, p-cpe:/a:amazon:linux:golang-src, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang-shared, cpe:/o:amazon:linux:2023
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2025/10/27
弱點發布日期: 2025/10/23
參考資訊
CVE: CVE-2025-47912, CVE-2025-58183, CVE-2025-58185, CVE-2025-58186, CVE-2025-58187, CVE-2025-58188, CVE-2025-58189, CVE-2025-61723, CVE-2025-61724, CVE-2025-61725
IAVB: 2025-B-0177