Amazon Linux 2golang、 --advisory ALAS2-2022-1846 (ALAS-2022-1846)
medium Nessus 插件 ID 165989
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 golang 版本低于 1.18.5-1。因此,该软件受到 ALAS2-2022-1846 公告中提及的多个漏洞影响。2023-05-11 CVE-2022-1996 已将状态更改为此程序包的 NOT AFFECTED并已从此公告中删除。
在 golang 中发现一个缺陷。HTTP/1 客户端接受指示分块编码的无效 Transfer-Encoding 标头。此问题可允许请求走私但前提是与也未正确将标头接受为无效的中间服务器结合使用。 (CVE-2022-1705)
在 golang 标准库 go/parser 中发现一个缺陷。在 Go 源代码中调用任何 Parse 函数其中包含深度嵌套的类型或声明时可能因堆栈耗尽而发生错误。此问题允许攻击者影响系统可用性。 (CVE-2022-1962)
在 golang.org/x/crypto/ssh 中发现一个破坏加密算法缺陷。此问题导致服务器拒绝基于 SHA-2 的签名算法导致客户端无法使用 RSA 密钥进行身份验证从而使攻击者能够使服务器崩溃从而导致失去可用性。 (CVE-2022-27191)
在 golang encoding/xml 中发现缺陷。在解析深度嵌套的 XML 文档的同时调用 Decoder.Skip 时会由于堆栈耗尽而发生错误并且允许攻击者影响系统可用性。
(CVE-2022-28131)
通过检查群组来调用进程时在 syscall.Faccessat 函数中发现一个缺陷。此缺陷允许攻击者检查进程群组权限而不是文件群组成员的权限从而影响系统可用性。 (CVE-2022-29526)
在 Go 1.17.11 和 Go 1.18.3 之前的 crypto/tls 中会话票证中的 Ticket_age_add 的非随机值允许能够观察到 TLS 握手的攻击者通过在会话恢复期间比较票证使用期限来关联连续的连接。 (CVE-2022-30629)
在 golang 标准库 io/fs 中发现一个缺陷。在包含大量路径分隔符的路径上调用 Glob 会因堆栈耗尽而发生错误。这可允许攻击者影响可用性。 (CVE-2022-30630)
在 golang 中发现一个缺陷。对包含大量链接的 0 长度压缩文件的存档调用 Reader.Read 方法会因堆栈耗尽而导致错误。 (CVE-2022-30631)
在 golang 中发现一个缺陷。在包含大量路径分隔符的路径上调用 Glob 会因堆栈耗尽而发生错误。这可能会使攻击者影响可用性。
(CVE-2022-30632)
Go 1.17.12 和 Go 1.18.4 之前的 encoding/xml 中的 Unmarshal 中未受控制的递归允许攻击者通过将 XML 文档解组到 Go 结构其中该结构具有使用any 字段标签的嵌套字段而因堆栈耗尽而造成错误。 (CVE-2022-30633)
在 golang 中发现一个缺陷。当对含有深度嵌套结构的消息调用 Decoder.Decode 时会因堆栈耗尽而发生错误并允许攻击者影响系统可用性。 (CVE-2022-30635)
通过使用包含 X-Forwarded-For 标头 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 可触发 Go 1.17.12 和 Go 1.18.4 之前的 net/http 中客户端 IP 地址的不当暴露客户端 IP 地址这会造成 ReverseProxy以将客户端 IP 设置为 X-Forwarded-For 标头的值。 (CVE-2022-32148)
在 Golang math/big 中发现一个不受控制的资源消耗缺陷。编码过短的消息可在 Go 的 math/big 的 Float.GobDecode 和 Rat.GobDecode 中造成错误可能允许攻击者创建拒绝服务从而影响可用性。 (CVE-2022-32189)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update golang”或“yum update --advisory ALAS2-2022-1846”以更新系统。另见
https://alas.aws.amazon.com//AL2/ALAS2-2022-1846.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2022-1705.html
https://explore.alas.aws.amazon.com/CVE-2022-1962.html
https://explore.alas.aws.amazon.com/CVE-2022-27191.html
https://explore.alas.aws.amazon.com/CVE-2022-28131.html
https://explore.alas.aws.amazon.com/CVE-2022-29526.html
https://explore.alas.aws.amazon.com/CVE-2022-30629.html
https://explore.alas.aws.amazon.com/CVE-2022-30630.html
https://explore.alas.aws.amazon.com/CVE-2022-30631.html
https://explore.alas.aws.amazon.com/CVE-2022-30632.html
https://explore.alas.aws.amazon.com/CVE-2022-30633.html
https://explore.alas.aws.amazon.com/CVE-2022-30635.html
插件详情
严重性: Medium
ID: 165989
文件名: al2_ALAS-2022-1846.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2022/10/10
最近更新时间: 2025/9/26
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2022-29526
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2022-32148
漏洞信息
CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-race, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-misc, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-src
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/9/15
漏洞发布日期: 2022/3/18
参考资料信息
CVE: CVE-2022-1705, CVE-2022-1962, CVE-2022-27191, CVE-2022-28131, CVE-2022-29526, CVE-2022-30629, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32148, CVE-2022-32189
IAVB: 2022-B-0025-S