Amazon Linux 2ecs-service-connect-agent --advisory ALAS2ECS-2025-093 (ALASECS-2025-093)

high Nessus Plugin ID 281808

語言:

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 ecs-service-connect-agent 版本比 v1.34.4.2-1 舊。因此，會受到 ALAS2ECS-2025-093 公告中所提及的多個弱點影響。

存在有拒絕服務弱點，透過 gRPC-C++ 中的資料損毀 - 透過通道 arg GRPC_ARG_TCP_TX_ZEROCOPY_ENABLED 啟用傳輸零複製的 gRPC-C++ 伺服器可能會遇到資料損毀問題。透過應用程式傳送的資料在網路傳輸前可能已經損毀，導致接收器收到一組不正確的位元組，進而造成 RPC 要求失敗。建議升級至認可提交 e9046b2bbebc0cb7f5dc42008f807f6c7e98e791 (CVE-2024-11407)

到 2.1 版的 LuaJIT 中 lj_strfmt_num.c 的 lj_strfmt_wfnum 有堆疊緩衝區溢位。 (CVE-2024-25176)

到 2.1 的LuaJIT 有一個針對 NULL 中繼表的 IR_FSTORE 取消匯進而導致拒絕服務 (DoS)。 (CVE-2024-25177)

到 2.1 版的 LuaJIT 在 lj_state.c 的堆疊溢位處置程式中有超出邊界讀取問題 (CVE-2024-25178)

當在**使用 zlib 1.2.0.3 或更舊版本**要求 libcurl 以 `CURLOPT_ACCEPT_ENCODING` 選項對內容編碼的 HTTP 回應執行自動 gzip 解壓縮時受攻擊者控制的整數溢位導致 libcurl 執行緩衝區溢位。 (CVE-2025-0725)

Envoy 是一種開放原始碼的 L7 代理伺服器和通訊匯流排專為大型現代化服務導向架構所設計。 1.34.0 至 1.34.4 和 1.35.0 版的 DNS 快取含有一個釋放後使用 (UAF) 弱點會造成處理程序異常終止。Envoy 的 Dynamic Forward Proxy 實作中存在弱點會在 DNS 解析的完成回呼觸發新的 DNS 解析或移除現有的擱置解析時發生。當符合下列條件時可能會發生此情況：
已啟用動態轉送篩選器、「envoy.reloadable_features.dfp_cluster_resolves_hosts」運行時間旗標已啟用且動態轉送篩選器和路由器篩選器之間的主機標頭已修改。
此問題已在 1.34.5 和 1.35.1版本中解決。若要因應此問題請將 envoy.reloadable_features.dfp_cluster_resolves_hosts 運行時間旗標設為 false。 (CVE-2025-54588)

Envoy 是一種開放原始碼的 L7 代理伺服器和通訊匯流排專為大型現代化服務導向架構所設計。在 1.32.10 和 1.33.0 至 1.33.6、 1.34.0 至 1.34.4 和 1.35.0之前的版本中Envoy OAuth2 篩選器中的工作階段到期不足會導致登出作業失敗。使用前置詞為 __Secure- 或 __Host- 的 Cookie 名稱設定時篩選器無法在刪除期間將所需的 Secure 屬性附加至 Set-Cookie 標頭。現代瀏覽器會忽略此無效要求造成工作階段 Cookie 持續存在。這可讓使用者在認為自己已登出後仍維持登入狀態造成共用電腦的工作階段劫持風險。目前的實作會逐一查看已設定的 Cookie 名稱以產生刪除標頭但不會檢查這些前置詞。無法正確建構刪除標頭表示瀏覽器永遠不會移除使用者的工作階段 Cookie使工作階段保持在作用中狀態並允許相同瀏覽器的下一個使用者在未經授權的情況下存取原始使用者的帳戶和資料。此問題已在 1.32.10、 1.33.7、 1.34.5 和 1.35.1版中修正。 (CVE-2025-55162)

Envoy 是雲端原生的開放原始碼邊緣和服務 Proxy。在 1.36.1、 1.35.5、 1.34.9和 1.33.10之前的版本中大型要求和回應可能因 Envoy 中的流量控制管理問題而觸發 TCP 連線集區損毀。連線正在關閉但上游資料仍將傳入時會發生此問題進而導致緩衝區浮水印回呼 nullptr 參照。此弱點會影響 TCP proxy 以及以 ALPN 為基礎的 HTTP 1 和 2 混合使用案例。此弱點已在 1.36.1、 1.35.5、 1.34.9和 1.33.10中修正。
(CVE-2025-62409)

Envoy 是一種開放原始碼的邊緣和服務 Proxy。 1.36.2、 1.35.6、 1.34.10和 1.33.12 之前的 Envoy 版本在 Lua 篩選器中含有一個釋放後使用弱點。當在回應階段中執行的 Lua 指令碼重寫回應內文使其大小超過已設定的 per_connection_buffer_limit_bytes (預設為 1MB)時Envoy 會產生一個本機回覆其標頭會覆寫原始的回應標頭留下懸置參照並造成損毀。這會導致拒絕服務。更新至 1.36.2、 1.35.6、 1.34.10或 1.33.12 版可修正此問題。增加 per_connection_buffer_limit_bytes (對於 HTTP/2 則為initial_stream_window_size) 或增加 per_request_buffer_limit_bytes / request_body_buffer_limit 可降低觸發該情形的可能性但無法更正基礎記憶體安全性缺陷。 (CVE-2025-62504)

Envoy 是一種高效能的 edge/middle/service Proxy。在 1.33.12、 1.34.10、 1.35.6、 1.36.2和更舊版本中當使用遠端 JWKS 擷取設定 JWT 驗證、啟用 allow_missing_or_failed、要求標頭中存在多個 JWT token 以及 JWKS 擷取失敗時Envoy 會損毀。這是由 JwksFetcherImpl 中的重新輸入錯誤所造成。當第一個 token 的 JWKS 擷取失敗時onJwksError() 回呼會觸發處理第二個 token進而在相同擷取器物件上再次呼叫 fetch()。
然後原始回呼的 reset() 會清除第二個擷取的狀態 (receiver_ 和 request_)這會在非同步 HTTP 回應到達時造成損毀。 (CVE-2025-64527)

Envoy 是一種高效能的 edge/middle/service Proxy。在 1.33.12、 1.34.10、 1.35.6、 1.36.2和更舊版本中當在 TCP 代理伺服器模式下設定 Envoy 以處理 CONNECT 要求時它會在發出 2xx 回應之前接受用戶端資料並將該資料轉送至上游 TCP 連線。如果 Envoy 的上游轉送代理伺服器以非 2xx 狀態回應這可能會造成 CONNECT 通道狀態取消同步。根據預設Envoy 會繼續允許早期 CONNECT 資料以避免中斷現有部署。
Envoy.reloadable_features.reject_early_connect_data 運行時間旗標可設定為在 Envoy 的上游拒絕建立 CONNECT 通道時拒絕在 2xx 回應之前傳送資料的 CONNECT 要求。 (CVE-2025-64763)

Envoy 是一種高效能的 edge/middle/service Proxy。在 1.33.12、 1.34.10、 1.35.6、 1.36.2和更舊版本中Envoy 用於 match_typed_subject_alt_names 的 mTLS 憑證比對器可能會不正確地將 othername SAN 值內含有內嵌 null 位元組 (\0) 的憑證視為有效比對。 (CVE-2025-66220)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。