Amazon Linux 2 : perl-DBI, --advisory ALAS2-2026-3361 (ALAS-2026-3361)

critical Nessus Plugin ID 322076

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 perl-DBI 版本早於 1.627-4。因此,它會受到 ALAS2-2026-3361 公告中所提及的多個弱點影響。

Perl 之前 1.648 的 DBI 版本在剖析具有超過 9 個繫結器的 SQL 陳述式時會出現堆積溢位。

preparse 方法會將 SQL 預留位置字元擴充為 :p N 形式的編號繫結器,但只會在緩衝區中為每個繫結器配置三個字元。佔位符 10-99 需要四個字元、 100-999 五個字元等。(CVE-2026-10879)

1.648 之前的 Perl DBI 版本將錯誤儲存在有限大小的緩衝區中。當設定 RaiseError、PrintError 或 HandleError 時,傳回的錯誤訊息會寫入一個 200 位元組的緩衝區,且未對長度進行限制。若攻擊者能控制應用程式中的錯誤文字,則可藉此觸發緩衝區溢位。
(CVE-2026-9698)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「yum update perl-DBI」或「yum update --advisory ALAS2-2026-3361」以更新系統。

另請參閱

https://alas.aws.amazon.com//AL2/ALAS2-2026-3361.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-10879.html

https://explore.alas.aws.amazon.com/CVE-2026-9698.html

Plugin 詳細資訊

嚴重性: Critical

ID: 322076

檔案名稱: al2_ALAS-2026-3361.nasl

版本: 1.1

類型: Local

代理程式: unix

已發布: 2026/6/22

已更新: 2026/6/22

支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.9

百分位: 58.05

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2026-9698

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:perl-dbi, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:perl-dbi-debuginfo

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/6/22

弱點發布日期: 2026/6/5

參考資訊

CVE: CVE-2026-10879, CVE-2026-9698