偵測

Amazon Linux 2023:openssl、openssl-devel、openssl-fips-provider-latest (ALAS2023-2026-1522)

high Nessus Plugin ID 304598

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,它會受到 ALAS2023-2026-1522 公告中提及的一個弱點影響。

 問題摘要當 OpenSSL TLS 1.3 伺服器的金鑰交換群組組態包含使用「DEFAULT」關鍵字的預設值時其可能無法交涉預期的偏好金鑰交換群組。影響摘要:如果用戶端的初始述詞金鑰共用中未包含偏好較高的群組,則即使用戶端和伺服器皆支援偏好較低的金鑰交換,也可能會使用該群組。如果用戶端選擇延遲使用,直到伺服器特別要求時,新的混合 post-quantum 群組有時會發生此情況。如果 OpenSSL TLS 1.3 伺服器的組態使用「DEFAULT」關鍵字將內建的預設群組清單插入其本身的組態,可能會新增或移除特定元素,則實作缺陷會造成「DEFAULT」清單遺失其「tuple」結構,且所有伺服器支援的群組都被視為一個足夠安全的「tuple」,因此即使在更偏好的 tuple 中的群組受到相互支援,伺服器也不會傳送 Hello Retry Request (HRR)。因此,如果用戶端的組態只產生「classical」群組 (例如「X25519」是用戶端的初始 keyshare 預測中唯一的群組),則用戶端和伺服器可能無法交涉相互支援的 post-quantum 金鑰協議群組,例如「X25519MLKEM768」。
 OpenSSL 3.5 和更新版本支援用於選取 TLS 伺服器上最偏好的 TLS 1.3 金鑰協議群組的新語法。舊語法具有單一「flat」群組清單,並將所有受支援的群組視為足夠安全。如果用戶端預測的任何 keyshare 受到伺服器支援,則即使用戶端支援但未包含在預測 keyshare 清單中的其他群組 (若包含) 具有更高優先級,伺服器仍會選取其中優先級最高的一個群組。新語法會將群組分割為安全性大致相同的不同「元組」。在每個元組內,會選擇用戶端預測 keyshare 中包含的優先級最高的群組,但如果用戶端支援來自較偏好元組的群組,但並未預測任何對應的 keyshare,則伺服器會要求用戶端重試 ClientHello (透過發出 Hello Retry Request (HRR)) 與優先級最高的相互支援的群組。當伺服器的組態使用內建的預設群組清單,或透過直接定義各種所需的群組和群組「元組」來明確定義自己的清單時,上述項目可如預期運作。沒有 OpenSSL FIPS 模組受到此問題影響,因為有問題的程式碼位於 FIPS 邊界之外。
 OpenSSL 3.6 至 3.5 受此問題影響。OpenSSL 3.6 使用者應在 OpenSSL 3.6.2 發行後升級至該版本。OpenSSL 3.5 使用者應在 OpenSSL 3.5.6 發行後升級至該版本。OpenSSL 3.4、3.3、3.0、1.0.2 和 1.1.1 不會受到此問題影響。(CVE-2026-2673)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update openssl --releasever 2023.10.20260330」或「dnf update --advisory ALAS2023-2026-1522 --releasever 2023.10.20260330」以更新系統。

另請參閱

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1522.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-2673.html

Plugin 詳細資訊

嚴重性: High

ID: 304598

檔案名稱: al2023_ALAS2023-2026-1522.nasl

版本: 1.2

類型: Local

代理程式: unix

已發布: 2026/4/1

已更新: 2026/4/10

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2026-2673

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:openssl-debugsource, p-cpe:/a:amazon:linux:openssl-perl, p-cpe:/a:amazon:linux:openssl-fips-provider-latest-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs, p-cpe:/a:amazon:linux:openssl-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-fips-provider-latest, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:openssl-libs

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/4/1

弱點發布日期: 2026/3/13

參考資訊

CVE: CVE-2026-2673

IAVA: 2026-A-0308