Amazon Linux 2023：docker (ALAS2023-2026-1571)

high Nessus Plugin ID 306199

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，它會受到 ALAS2023-2026-1571 公告中所提及的多個弱點影響。

url.Parse 對 host/authority 元件的驗證不足且接受某些無效的 URL。
(CVE-2026-25679)

在 Unix 平台上當列出使用 File.ReadDir 或 File.Readdir 的目錄內容時傳回的 FileInfo 可參照開啟檔案的 Root 以外的檔案。此逸出的影響僅限於從檔案系統上的任意位置讀取 lstat 提供的詮釋資料而不允許在 root 外讀取或寫入檔案。 (CVE-2026-27139)

將 URL 插入 HTML 中繼標籤內容屬性的動作不會逸出。如果中繼標籤也具有值為 refresh 的 http-equiv 屬性這可允許 XSS。已新增 GODEBUG 新設定 htmlmetacontenturlescape其可用來透過設定 htmlmetacontenturlescape=0在 url= 之後的中繼內容屬性中停用動作中的逸出 URL。 (CVE-2026-27142)

Moby 是一種開放原始碼的容器架構。在 29.3.1版之前偵測到一個安全性弱點其允許在 docker 外掛程式安裝期間繞過外掛程式權限驗證。由於程序權限比較邏輯中的一個錯誤程序可能會不正確地接受與使用者核准權限不同的權限組。只要求一個權限的外掛程式也會受到影響因為根本沒有執行任何比較。此問題已在 29.3.1 版中修正。(CVE-2026-33997)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。