Amazon Linux 2：runc (ALASDOCKER-2022-020)

high Nessus 插件 ID 166117

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 runc 版本低于 1.1.3-1。因此，该软件受到 ALAS2DOCKER-2022-020 公告中提及的多个漏洞影响。

在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 中HTTP/1 客户端接受某些无效的 Transfer-Encoding 标头如果与也不能正确将标头拒绝为无效的中间服务器结合使用会允许 HTTP 请求走私。 (CVE-2022-1705)

在 Go 1.17.12 和 Go 1.18.4 之前版本的 go/parser 中Parse 函数中的不受控制递归允许攻击者通过深度嵌套类型或声明因堆栈耗尽而造成错误。 (CVE-2022-1962)

在 Golang 的库 encoding/pem 中发现缓冲区溢出缺陷。此缺陷允许攻击者使用大型 PEM 输入超过 5 MB造成 Decode 中的堆栈溢出从而丧失可用性。 (CVE-2022-24675)

在 golang.org/x/crypto/ssh 中发现一个破坏加密算法缺陷。此问题导致服务器拒绝基于 SHA-2 的签名算法导致客户端无法使用 RSA 密钥进行身份验证从而使攻击者能够使服务器崩溃从而导致失去可用性。 (CVE-2022-27191)

在 golang encoding/xml 中发现缺陷。在解析深度嵌套的 XML 文档的同时调用 Decoder.Skip 时会由于堆栈耗尽而发生错误并且允许攻击者影响系统可用性。
(CVE-2022-28131)

在 Golang 的 crypto/elliptic 库中发现一个整数溢出缺陷。此缺陷允许攻击者使用长度超过 32 个字节的特制定标器输入造成 P256().ScalarMult 或 P256().ScalarBaseMult 发生错误从而失去可用性。 (CVE-2022-28327)

runc 是一个 CLI 工具，用于根据 OCI 规范在 Linux 上生成和运行容器。在低于 1.1.2 版本的 runc 中发现一个错误，其中 `runc exec --cap` 以非空、可继承的 Linux 进程功能创建了进程，从而创建非典型 Linux 环境，并使具有可继承文件功能的程序在 execve(2) 期间将这些功能提升至允许的集。此错误不影响容器安全沙盒，因为可继承集包含的功能绝不会多于容器边界集中包含的功能。此缺陷已在 runc 1.1.2 版中修复。此补丁更改了 `runc exec --cap` 行为，使得授予正在执行的进程的其他功能（通过 `--cap` 参数指定）不包括可继承的功能。此外，`runc spec` 已更改为不在创建的示例 OCI 规范 (`config.json`) 文件中设置任何可继承的功能。(CVE-2022-29162)

Go before 1.17.10 和 1.18.x before 1.18.2 存在错误的权限分配。当使用非零标记参数调用时，Faccessat 函数可能错误地报告文件可访问。
(CVE-2022-29526)

在 Go 1.17.11 和 Go 1.18.3 之前的 crypto/tls 中会话票证中的 Ticket_age_add 的非随机值允许能够观察到 TLS 握手的攻击者通过在会话恢复期间比较票证使用期限来关联连续的连接。 (CVE-2022-30629)

在 golang 标准库 io/fs 中发现一个缺陷。在包含大量路径分隔符的路径上调用 Glob 会因堆栈耗尽而发生错误。这可允许攻击者影响可用性。 (CVE-2022-30630)

在 golang 中发现一个缺陷。对包含大量链接的 0 长度压缩文件的存档调用 Reader.Read 方法会因堆栈耗尽而导致错误。 (CVE-2022-30631)

在 golang 中发现一个缺陷。在包含大量路径分隔符的路径上调用 Glob 会因堆栈耗尽而发生错误。这可能会使攻击者影响可用性。
(CVE-2022-30632)

Go 1.17.12 和 Go 1.18.4 之前的 encoding/xml 中的 Unmarshal 中未受控制的递归允许攻击者通过将 XML 文档解组到 Go 结构其中该结构具有使用any 字段标签的嵌套字段而因堆栈耗尽而造成错误。 (CVE-2022-30633)

在 golang 中发现一个缺陷。当对含有深度嵌套结构的消息调用 Decoder.Decode 时会因堆栈耗尽而发生错误并允许攻击者影响系统可用性。 (CVE-2022-30635)

通过使用包含 X-Forwarded-For 标头 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 可触发 Go 1.17.12 和 Go 1.18.4 之前的 net/http 中客户端 IP 地址的不当暴露客户端 IP 地址这会造成 ReverseProxy以将客户端 IP 设置为 X-Forwarded-For 标头的值。 (CVE-2022-32148)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。