Amazon Linux 2023：git-lfs (ALAS2023-2025-1258)

high Nessus Plugin ID 274682

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，它會受到 ALAS2023-2025-1258 公告中所提及的多個弱點影響。

Git LFS 是一項 Git 擴充功能，用於設定大型檔案的版本。在的 Git LFS 版本0.5.23.7.0中，當使用 Git LFS 物件的內容填入 Git 存放庫的工作樹狀結構時，如果存在與 Git LFS 追蹤的檔案路徑衝突的符號或硬式連結，某些 Git LFS 命令可能會寫入目前 Git 工作樹狀結構之外可見的檔案。git lfs checkout 和 git lfs pull 命令在寫入工作樹狀結構中的檔案之前不會檢查符號連結，因此攻擊者可以製作包含符號或硬式連結的存放庫，這些連結會導致 Git LFS 寫入執行這些命令的使用者可存取的任意檔案系統位置。同樣，當 git lfs checkout 和 git lfs pull 命令在裸存放庫中執行時，它們可能會寫入存放庫外部可見的檔案。此弱點已在版本 3.7.1中修正。因應措施是將 core.symlinks 組態選項設定為 false，以停用 Git 中對符號連結的支援，之後進一步的複製和擷取將不會建立符號連結。不過，現有存放庫中的任何符號或硬式連結仍會提供 Git LFS 寫入其目標的機會。（CVE-2025-26625）

crypto/x509：檢查名稱限制時的二次複雜度

由於名稱條件約束檢查演算法的設計，某些輸入的處理時間會根據憑證的大小進行非線性調整。

這會影響驗證任意憑證鏈的程式。（CVE-2025-58187）

archive/zip：剖析任意 ZIP 封存時發生拒絕服務 (CVE-2025-61728)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。