Amazon Linux 2:golang、--advisory ALAS2-2026-3313 (ALAS-2026-3313)
medium Nessus Plugin ID 316999
語言:
概要
遠端 Amazon Linux 2 主機缺少安全性更新。說明
遠端主機上安裝的 golang 版本早於 1.25.10-1。因此,它會受到 ALAS2-2026-3313 公告中所提及的多個弱點影響。將 LookupCNAME 與 cgo DNS 解析器搭配使用時,過長的 CNAME 回應可能會觸發 C 記憶體雙重釋放並當機。(CVE-2026-33811)
處理 HTTP/2 SETTINGS 幀時,如果傳輸收到值為 0 的SETTINGS_MAX_FRAME_SIZE,則將進入寫入 CONTINUATION 幀的無限循環。(CVE-2026-33814)
go 工具包次指令 (通常僅由編譯器用作具有已知良好輸入的內部工具) 不會清理輸出檔名。使用 pack 次指令擷取惡意封存檔,可能會將檔案寫入檔案系統上的任意位置。(CVE-2026-39817)
go bug 命令會寫入系統暫存目錄中兩個具有可預測名稱的檔案 (例如,/tmp)。有權存取暫存目錄的攻擊者可以在其中一個名稱中建立符號連結,導致 go 錯誤覆寫符號連結的目標。(CVE-2026-39819)
到達 ParseAddress、ParseAddressList 和 ParseDate 的精心設計的輸入能夠觸發過多的 CPU 耗盡和記憶體配置。(CVE-2026-39820)
CVE-2026-27142已修正 URL 未在標籤<content>屬性內<meta>正確逸出的弱點。如果 URL 內容在屬性內 <content> 的「=」符文周圍插入 ASCII 空格,則逸出器將無法以類似的方式逸出它,從而導致 XSS。(CVE-2026-39823)
ReverseProxy 可以轉送包含 Rewrite 函式不可見參數的查詢。當與 Rewrite 函式或剖析查詢參數的 Director 函式搭配使用時,ReverseProxy 會清理轉送的要求,以移除 URL 未剖析的查詢參數。ParseQuery。ReverseProxy 不會考慮 ParseQuery 對查詢參數總數的限制 (由 GODEBUG=urlmaxqueryparams=N 控制)。這可允許 ReverseProxy 轉送包含 Rewrite 函式不可見之查詢參數的要求。例如,查詢 a1=x&a2=x&...&a10000=x&hidden=y 可以轉送參數 hidden=y,同時從 Proxy 的 Rewrite 函式中隱藏它。(CVE-2026-39825)
如果受信任的範本作者要撰寫包含 <script> 空 'type' 屬性或帶有 ASCII 空格的 'type' 屬性的標籤,則範本的執行將錯誤地逸出傳遞到區塊中 <script> 的任何資料。(CVE-2026-39826)
根據 RFC 5322 剖析電子郵件地址時,病態輸入可能會透過 consumePhrase 導致 DoS。(CVE-2026-42499)
惡意模組 Proxy 可利用 go 命令驗證模組總和檢查碼中的缺陷來繞過總和檢查碼資料庫驗證。此弱點會影響使用不受信任模組 Proxy (GOMODPROXY) 或總和檢查碼資料庫 (GOSUMDB) 的任何使用者。惡意模組代理可以提供 Go 工具鏈的更改版本。當選擇與目前安裝的工具鏈不同的 Go 工具鏈版本時(由於 GOTOOLCHAIN 環境變數,或帶有工具鏈行的 go.work 或 go.mod),go 命令將下載並執行模組代理提供的工具鏈。惡意模組 Proxy 可以繞過此下載工具鏈的總和檢查碼資料庫驗證。由於此漏洞會影響工具鏈下載的安全性,因此將 GOTOOLCHAIN 設定為固定版本是不夠的。您必須升級您的基本 Go 工具鏈。go 工具總是在執行工具鏈之前驗證工具鏈的雜湊值,因此修正版本將拒絕執行工具鏈的任何快取、更改版本。go 工具信任 go.sum 檔案來包含目前模組相依性的準確雜湊。惡意 Proxy 利用此弱點為更改的模組提供服務,會導致在 go.sum 中記錄不正確的雜湊。已配置非受信任 GOPROXY 的使用者可以判斷他們是否受到執行 rm go.sum 的影響;去整潔;go mod verify,這將重新驗證目前模組的所有依賴項。具體缺陷更詳細:當模組未在 go.sum 檔案中列出時,go 命令會查閱總和檢查碼資料庫以驗證下載的模組。它會驗證總和檢查碼資料庫報告的模組雜湊是否與下載模組的雜湊相符。不過,如果總和檢查碼資料庫傳回不包含模組項目的成功回應,則 go 指令會錯誤地允許驗證成功。模組代理可以鏡像或代理總和檢查碼資料庫,在這種情況下,go命令將不會直接連接到總和檢查碼資料庫。總和檢查碼資料庫所報告的總和檢查碼會以密碼編譯方式簽署,因此惡意 Proxy 無法變更模組所報告的總和檢查碼。不過,傳回空總和檢查碼回應或不相關模組的總和檢查碼回應的 Proxy 可能會導致 go 指令繼續進行,就像已驗證下載的模組一樣。
(CVE-2026-42501)
Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「yum update golang」或「yum update --advisory ALAS2-2026-3313」以更新系統。另請參閱
https://alas.aws.amazon.com//AL2/ALAS2-2026-3313.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-33811.html
https://explore.alas.aws.amazon.com/CVE-2026-33814.html
https://explore.alas.aws.amazon.com/CVE-2026-39817.html
https://explore.alas.aws.amazon.com/CVE-2026-39819.html
https://explore.alas.aws.amazon.com/CVE-2026-39820.html
https://explore.alas.aws.amazon.com/CVE-2026-39823.html
https://explore.alas.aws.amazon.com/CVE-2026-39825.html
https://explore.alas.aws.amazon.com/CVE-2026-39826.html
Plugin 詳細資訊
嚴重性: Medium
ID: 316999
檔案名稱: al2_ALAS-2026-3313.nasl
版本: 1.1
類型: Local
代理程式: unix
已發布: 2026/5/27
已更新: 2026/5/27
支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: Medium
基本分數: 4.6
時間性分數: 3.4
媒介: CVSS2#AV:L/AC:L/Au:S/C:N/I:C/A:N
CVSS 評分資料來源: CVE-2026-39817
CVSS v3
風險因素: Medium
基本分數: 5.9
時間性分數: 5.2
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-src, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/5/26
弱點發布日期: 2026/5/7
參考資訊
CVE: CVE-2026-33811, CVE-2026-33814, CVE-2026-39817, CVE-2026-39819, CVE-2026-39820, CVE-2026-39823, CVE-2026-39825, CVE-2026-39826, CVE-2026-42499, CVE-2026-42501
IAVB: 2026-B-0120