Amazon Linux 2023:nodejs24、nodejs24-devel、nodejs24-full-i18n (ALAS2023-2026-1526)
critical Nessus Plugin ID 304617
語言:
概要
遠端 Amazon Linux 2023 主機缺少一個安全性更新。說明
因此,它會受到 ALAS2023-2026-1526 公告中所提及的多個弱點影響。Undici 允許在陣列中以大小寫變體名稱提供 HTTP Content-Length 標頭時出現重複的 HTTP Content-Length 標頭 (例如,Content-Length 和 content-length)。這會在連線中產生格式錯誤的 HTTP/1.1 要求,其中包含多個衝突的 Content-Length 值。
受影響的對象:
* 使用 undici.request()、undici.Client 或類似低階 API,並將標頭作為平面陣列傳遞的應用程式 * 接受使用者控制的標頭名稱而未將大小寫標準化的應用程式
潛在後果:
* 拒絕服務:嚴格的 HTTP 剖析器 (proxy、伺服器) 將拒絕包含重複 Content-Length 標頭的要求 (400 錯誤要求) * HTTP 要求走私:在中間及後端以不一致方式解譯重複標頭的部署環境中 (例如,一個取第一個值,另一個則取最後一個值),這可導致要求走私攻擊,進而導致 ACL 繞過、快取毒害或認證劫持 (CVE-2026-1525)
undici WebSocket 用戶端容易在 permessage-deflate 解壓縮期間,透過無限制記憶體消耗,遭受拒絕服務攻擊。當 WebSocket 連線交涉 permessage-deflate 延伸模組時,用戶端會解壓縮傳入的壓縮框架,而不會對解壓縮的資料大小強制執行任何限制。惡意 WebSocket 伺服器可傳送小型壓縮框架 (解壓縮炸彈),其會在記憶體中擴充至極大的大小,從而導致 Node.js 處理程序耗盡可用記憶體並損毀,或使其停止回應。
此弱點存在於 PerMessageDeflate.decompress() 方法中,而此方法會在記憶體中累積所有解壓縮的區塊,並在未檢查總大小是否超過安全臨界值的情況下將其串連到單一緩衝區內。(CVE-2026-1526)
影響:當應用程式將使用者控制的輸入傳遞至 client.request() 的升級選項時,攻擊者可將 CRLF 序列 (\r\n) 插入至:
* 插入任意 HTTP 標頭* 提前終止 HTTP 要求,並將原始資料走私至非 HTTP 服務 (Redis、Memcached、Elasticsearch)。此弱點之所以存在,是因為 undici 並未驗證無效標頭字元,便將升級值直接寫入通訊端:
// lib/dispatcher/client-h1.js:1121if (upgrade) {header += `connection: upgrade\r\nupgrade:
${upgrade}\r\n`} (CVE-2026-1527)
ImpactA 伺服器可使用 64 位元長度表單和極大長度,以 WebSocket 框架做出回覆。undici 的 ByteParser 會造成內部數學溢位、最終進入無效狀態,並擲回可終止處理程序的嚴重 TypeError。
修補程式
已在 undici v7.24.0 和 v6.24.0 版本中修補。使用者應升級至此版本或更新版本。
(CVE-2026-1528)
影響:undici WebSocket 用戶端容易遭受拒絕服務攻擊,這是不當驗證 permessage-deflate 延伸模組中的 server_max_window_bits 參數所導致。當 WebSocket 用戶端連線至伺服器時,它會自動公告支援 permessage-deflate 壓縮。惡意伺服器可以超出範圍的 server_max_window_bits 值 (超出 zlib 的有效範圍 8-15) 做出回應。
當伺服器後續傳送壓縮框架時,用戶端會嘗試使用無效的 windowBits 值建立 zlib InflateRaw 執行個體,這會造成同步 RangeError 例外狀況無法擷取,進而導致處理程序立即終止。
此弱點之所以存在,是因為:
* isValidClientWindowBits() 函式僅驗證該值是否包含 ASCII 數字,不會驗證其是否落在有效範圍 8-15 之間* createInflateRaw() 呼叫未包裝在 try-catch 區塊中* 導致的例外狀況會透過呼叫堆疊向上傳播並導致 Node.js 處理程序損毀 (CVE-2026-2229)
這是一個不受控制的資源消耗弱點 (CWE-400),可導致拒絕服務 (DoS)。
在易受攻擊的 Undici 版本中,當啟用 interceptors.deduplicate() 時,可針對下游處置程式在記憶體中累積已刪除重複資料要求的回應資料。受攻擊者控製或未受信任的上游端點可透過大型/區塊回應和並行相同要求來惡意利用此弱點,從而造成高記憶體使用率並可能導致 OOM 處理程序終止。
受影響的使用者是針對可能產生大型或長效回應內文的端點,使用 Undici 重複資料刪除攔截器的應用程式。
修補程式:已透過如下方式修補此問題:變更重複資料刪除行為,以在回應區塊到達時將其串流至下游處置程式 (而非完整內容累積),並在內文串流已開始後防止後期發生重複資料刪除。
使用者應升級至包含此修補程式的首個正式 Undici (和 Node.js,若適用) 版本。(CVE-2026-2581)
Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「dnf update nodejs24 --releasever 2023.10.20260330」或「dnf update --advisory ALAS2023-2026-1526 --releasever 2023.10.20260330」以更新系統。另請參閱
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1526.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-1525.html
https://explore.alas.aws.amazon.com/CVE-2026-1526.html
https://explore.alas.aws.amazon.com/CVE-2026-1527.html
https://explore.alas.aws.amazon.com/CVE-2026-1528.html
Plugin 詳細資訊
嚴重性: Critical
ID: 304617
檔案名稱: al2023_ALAS2023-2026-1526.nasl
版本: 1.1
類型: Local
代理程式: unix
已發布: 2026/4/1
已更新: 2026/4/1
支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2026-1525
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:v8-13.6-devel, p-cpe:/a:amazon:linux:nodejs24-debugsource, p-cpe:/a:amazon:linux:nodejs24-debuginfo, p-cpe:/a:amazon:linux:nodejs24-full-i18n, p-cpe:/a:amazon:linux:nodejs24-npm, p-cpe:/a:amazon:linux:nodejs24-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs24-docs, p-cpe:/a:amazon:linux:nodejs24-devel, p-cpe:/a:amazon:linux:nodejs24-libs, p-cpe:/a:amazon:linux:nodejs24, cpe:/o:amazon:linux:2023
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/4/1
弱點發布日期: 2026/3/12
參考資訊
CVE: CVE-2026-1525, CVE-2026-1526, CVE-2026-1527, CVE-2026-1528, CVE-2026-2229, CVE-2026-2581