Amazon Linux 2023：perl-Net-CIDR-LiteALAS2023-2026-1624（）

high Nessus Plugin ID 311311

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，它會受到 ALAS2023-2026-1624 公告中所提及的多個弱點影響。

Net：：CIDR：：Lite 先前 0.23 的 Perl 版本無法驗證 IPv6 群組計數，這可能允許 IP ACL 繞過。

_pack_ipv6（）不會檢查未壓縮的 IPv6 位址（不含：:) 是否恰好有 8 個十六進位群組。
像 abcd、1：2：3 或 1：2：3：4：5：6：7 這類輸入被接受，卻產生錯誤長度的打包值（3、7 或 15 位元組，而非 17）。

打包值內部用於遮罩與比較操作。find（）和 bin_find（）對這些值使用 Perl 字串比較（lt/gt），比較不同長度的字串會得到錯誤的結果。
這可能導致 find（）錯誤地將地址報告為範圍內或範圍外。

例如：

my $cidr = Net：：CIDR：：Lite->new（：：/8）;$cidr->find（1：2：3）;# 輸入無效，錯誤回傳為真

這與本模組先前修正的（IPv4 前置零）相同類型的輸入驗證問題 CVE-2021-47154 。

另 CVE-2026-40199見，同一函式中影響 IPv4 映射 IPv6 位址的相關問題。
(CVE-2026-40198)

Net：：CIDR：：Lite 版本 0.23 之前 Perl 會錯誤處理 IPv4 映射的 IPv6 位址，這可能導致 IP ACL 繞過。

_pack_ipv6（）在建構 IPv4 映射位址的打包表示時，包含來自 _pack_ipv4（）的哨兵位元組，例如：：ffff：192.168.1.1。這會產生 18 位元組的值，而非 17 位元組，導致 IPv4 位址部分的對齊不對齊。

錯誤長度會導致遮罩操作錯誤（位元順序 AND 截斷到較短的運算元）以及 find（） / bin_find（）中使用 Perl 字串比較（lt/gt）的結果。這可能導致 find（）錯誤匹配或錯過地址。

例如：

my $cidr = Net：：CIDR：：Lite->new（：：ffff：192.168.1.0/120）;$cidr->find（：：ffff：192.168.2.0）;# 錯誤返回真

此觸發由有效的 RFC 4291 IPv4 映射位址（：：ffff：x.x.x.x.x）觸發。

另 CVE-2026-40198見，同一函式中影響 IPv6 位址錯誤的問題。
(CVE-2026-40199)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。