Amazon Linux 2：runfinch-finch，--advisory ALAS2DOCKER-2026-097 (ALASDOCKER-2026-097)

critical Nessus Plugin ID 300150

語言:

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 runfinch-finch 版本早於 1.14.1-1。因此，會受到 ALAS2DOCKER-2026-097 公告中所提及的多個弱點影響。

net/http：Request.ParseForm 中的記憶體耗盡弱點 (CVE-2025-61726)

archive/zip：剖析任意 ZIP 封存時發生拒絕服務 (CVE-2025-61728)

crypto/tls：可能以不正確的加密層級處理交握訊息 (CVE-2025-61730)

crypto/tls：Config.Clone 複製自動產生的工作階段工單金鑰，工作階段恢復未考量完整憑證鏈的到期 (CVE-2025-68121)

Cosign 針對容器和二進位提供程式碼簽署和透明度。在 2.6.2 和 3.0.4 之前的版本，即使內嵌的 Rekor 項目未參照成品的摘要、簽章或公開金鑰，仍可製作 Cosign 套件以成功驗證成品。驗證 Rekor 項目時，Cosign 會驗證 Rekor 項目簽章，並將成品的摘要、來自 Fulcio 憑證或使用者提供之使用者公開金鑰，以及成品簽章與 Rekor 項目內容進行比較。如果沒有這些比較，Cosign 會將來自 Rekor 的任何回應視為有效並接受。已入侵使用者身分或簽署金鑰的惡意執行者可包含任意 Rekor 項目，建構有效的 Cosign 套件組合，進而阻擋使用者稽核簽署事件。
此問題已在 2.6.2、3.0.4 和 CVE-2026-22703 版本中修正。

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。