偵測

Plugin

Amazon Linux 2023：valkey、valkey-devel (ALAS2023-2026-1748)

high Nessus Plugin ID 316991

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，它會受到 ALAS2023-2026-1748 公告中所提及的多個弱點影響。

Redis是一個記憶體中的資料結構儲存區。在 redis-server from 7.2.0 until 8.6.3中，重新執行封鎖的命令時，解除封鎖用戶端流程不會處理來自「processCommandAndResetClient」的錯誤傳回。如果在此流程期間撤回封鎖的用戶端，則經過驗證的攻擊者可觸發釋放後使用，進而導致遠端程式碼執行。這已在版本 8.6.3中修補。
(CVE-2026-23479)

Redis是一個記憶體中的資料結構儲存區。在具有 Lua 指令碼的所有版本的 redis-server 中，經過身份驗證的攻擊者都可以利用主複本同步機制，在停用或可以停用複本唯讀的複本上觸發釋放後使用，這可能會導致遠端程式碼執行。因應措施是防止使用者執行 Lua 指令碼，或避免使用停用複本唯讀的複本。此問題已在 8.6.3 版中修正。(CVE-2026-23631)

Redis是一個記憶體中的資料結構儲存區。在之前的 redis-server 8.6.3版本中，RESTORE 命令無法正確驗證序列化值。具有執行 RESTORE 權限的已驗證攻擊者可以提供特製的序列化承載，以觸發無效的記憶體存取，並可能導致遠端程式碼執行。因應措施是使用 ACL 規則來限制對 RESTORE 命令的存取。此問題已在 8.6.3 版中修正。(CVE-2026-25243)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update valkey --releasever 2023.11.20260526」或「dnf update --advisory ALAS2023-2026-1748 --releasever 2023.11.20260526」以更新系統。

另請參閱

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1748.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-23479.html

https://explore.alas.aws.amazon.com/CVE-2026-23631.html

https://explore.alas.aws.amazon.com/CVE-2026-25243.html

Plugin 詳細資訊

嚴重性: High

ID: 316991

檔案名稱: al2023_ALAS2023-2026-1748.nasl

版本: 1.1

類型: Local

代理程式: unix

系列: Amazon Linux Local Security Checks

已發布: 2026/5/27

已更新: 2026/5/27

支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 9

時間性分數: 6.7

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2026-25243

CVSS v3

風險因素: High

基本分數: 8.8

時間性分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

風險因素: High

Base Score: 7.7

Threat Score: 5.2

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

弱點資訊

CPE: p-cpe:/a:amazon:linux:valkey-debugsource, p-cpe:/a:amazon:linux:valkey-debuginfo, p-cpe:/a:amazon:linux:valkey, p-cpe:/a:amazon:linux:valkey-devel, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/5/26

弱點發布日期: 2026/5/5

參考資訊

CVE: CVE-2026-23479, CVE-2026-23631, CVE-2026-25243