Amazon Linux 2023:golang、golang-bin、golang-misc (ALAS2023-2023-175)
critical Nessus 插件 ID 175071
语言:
简介
远程 Amazon Linux 2023 主机缺少安全更新。描述
因此,如公告 ALAS2023-2023-175 所述,该主机受到多个漏洞的影响。- Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 math/big 的 Rat.SetString 中存在溢出漏洞,该漏洞可能导致不受控制的内存消耗问题。(CVE-2022-23772)
- Go 1.16.14 之前版本和 1.17.x 至 1.17.7 版本中的 cmd/go 可能会错误地将分支名称解读为版本标记。如果执行者能够创建分支但不能创建标签,则这可能导致错误控制访问权限。(CVE-2022-23773)
- Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 crypto/elliptic 中的 Curve.IsOnCurve 在 big.Int 值不是有效字段元素的情况下,可能会错误地返回 true。(CVE-2022-23806)
- ReverseProxy 转发的请求包括入站请求的原始查询参数,包括 net/http 拒绝的无法解析的参数。当 Go 代理转发具有不可解析值的参数时,这可能允许查询参数走私。修复后,在 ReverseProxy 之后设置出站请求的表单字段时,ReverseProxy 会审查转发的查询中的查询参数。Director 函数返回即表示代理已解析查询参数。不解析查询参数的代理继续转发不变的原始查询参数。(CVE-2022-2880)
- 在 Go 1.17.11 和 Go 1.18.3 之前版本中,os/exec 中的 Cmd.Start 存在代码注入漏洞,这允许通过调用 Cmd.Run、Cmd.Start、Cmd.Output 或 Cmd.CombinedOutput(未设置 Cmd.Path 时)来执行名为 ..com 或 .exe 的工作目录中的任何二进制文件。(CVE-2022-30580)
- 在 Windows 系统上的 Go 1.17.11 和 Go 1.18.3 之前版本中, crypto/rand 的 Read 存在无限循环,这允许攻击者通过传递大于 1 << 32 - 1 字节的缓冲区来造成无限期挂起。(CVE-2022-30634)
- 攻击者可造成接受 HTTP/2 请求的 Go 服务器内存过度增长。HTTP/2 服务器连接包含客户端发送的 HTTP 标头密钥的缓存。尽管此缓存中的条目总数已上限,但攻击者可发送非常大的密钥,从而导致服务器为每个打开的连接分配大约 64 MiB。(CVE-2022-41717)
- Windows 上的 filepath.Clean 中存在一个路径遍历漏洞。在 Windows 上,filepath.Clean 函数可将无效路径转换为有效路径,例如将 a/../c: /b 转换为有效路径 c:\b。这种从相对(如果无效)路径到绝对路径的转换可能会发动目录遍历攻击。修复后,filepath.Clean 函数会将此路径转换为相对(但仍然无效)的路径 。\c:\b。(CVE-2022-41722)
- 大量握手记录可能会造成 crypto/tls 错误。客户端和服务器都可能发送大型 TLS 握手记录,从而在尝试构造响应时分别造成服务器和客户端错误。这会影响所有 TLS 1.3 版客户端、明确启用会话恢复的 TLS 1.2 版客户端(通过将 Config.ClientSessionCache 设置为非 nil 值)以及请求客户端证书的 TLS 1.3 版服务器(通过设置 Config.ClientAuth >= RequestClientCert)。(CVE-2022-41724)
- net/http 和 mime/multipart 中的过量资源消耗可能导致拒绝服务。
使用 mime/multipart.Reader.ReadForm 进行的多部分表单解析会消耗大量不受限制的内存和磁盘文件。这也会影响使用 Request 方法 FormFile、FormValue、ParseMultipartForm 和 PostFormValue 在 net/http 程序包中进行的表单解析。ReadForm 采用 maxMemory 参数,据记载其在内存中最多可存储 +10MB maxMemory 字节(为非文件部分预留)。无法存储在内存中的文件部分以临时文件的形式存储在磁盘上。为非文件部分保留的不可配置的 10MB 过大,可能会单独打开拒绝服务矢量。但是,ReadForm 没有正确考虑解析的表单消耗的所有内存,例如映射条目开销、部分名称和 MIME 标头,从而允许恶意构建的表单消耗远远超过 10MB。此外,ReadForm 对创建的磁盘文件数量没有限制,允许相对较小的请求正文创建大量磁盘临时文件。修复后,ReadForm 现在可以正确考虑各种形式的内存开销,并且现在应将开销保持在其记录的 10MB + maxMemory 字节内存消耗内。用户仍应意识到此限制较高且可能仍然存在危险。此外,ReadForm 现在至多创建一个磁盘临时文件,从而将多个表单部分合并为一个临时文件。mime/multipart.File 接口类型的文档指出,如果存储在磁盘上,File 的底层具体类型将为 *os.File.。当表单包含多个文件部分时,情况不再如此,这是因为将多个文件部分合并为一个文件所致。可通过环境变量 GODEBUG=multipartfiles=distinct 重新启用之前对每个表单部分使用不同文件的行为。用户应注意,multipart.ReadForm 和调用它的 http.Request 方法不会限制临时文件消耗的磁盘数量。调用方可使用 http.MaxBytesReader 限制表单数据的大小。(CVE-2022-41725)
- 如果使用某些特定的未归约标量(大于曲线阶数的标量)进行调用, P256 Curve 的 ScalarMult 和 ScalarBaseMult 方法可能返回错误结果。这不会影响 crypto/ecdsa 或 crypto/ecdh 的使用。(CVE-2023-24532)
- 即使在解析小型输入时,HTTP 和 MIME 标头解析也可能会分配大量内存,从而可能导致拒绝服务。输入数据的某些异常模式可导致用于解析 HTTP 和 MIME 标头的通用函数分配远超所需的内容来保存已解析的标头。攻击者可能会利用此行为,导致 HTTP 服务器通过小型请求分配大量内存,从而可能导致内存耗尽和拒绝服务。
经修复后,标头解析现在可以正确分配所需内存来保存已解析的标头。
(CVE-2023-24534)
- 在处理包含大量部分的表单输入时,多部分表单解析可能会消耗大量 CPU 和内存。此问题由多种原因导致:1. mime/multipart.Reader.ReadForm 限制解析多部分表单可以消耗的总内存。ReadForm 可能会低估所消耗的内存量,导致它接受的输入大于预期。2. 限制总内存的做法并未考虑到包含多个部分的表单中的大量小型分配给垃圾回收器增加的压力。3.
ReadForm 可以分配大量短效缓冲区,这会进一步加大对垃圾回收器造成的压力。这些因素相结合,攻击者便可让解析多部分表单的程序消耗大量 CPU 和内存,从而可能导致拒绝服务。
这会影响使用 mime/multipart.Reader.ReadForm 的程序,也会影响使用 Request 方法 FormFile、FormValue、ParseMultipartForm 和 PostFormValue 在 net/http 程序包中进行的表单解析。经修复后,ReadForm 现在可以更好地估算已解析表单的内存消耗量,并大幅减少短效分配。此外,经修复的 mime/multipart.Reader 会对已解析表单的大小施加以下限制:1. 使用 ReadForm 解析的表单包含的部分不超过 1,000 个。此限制可通过环境变量 GODEBUG=multipartmaxparts= 进行调整。2. 使用 NextPart 和 NextRawPart 解析的表单部分包含的标头字段不超过 10,000 个。此外,使用 ReadForm 解析的所有表单部分包含的标头字段不超过 10,000 个。此限制可通过环境变量 GODEBUG=multipartmaxheaders= 进行调整。(CVE-2023-24536)
- 在包含具有极大行号的 //line 指令的 Go 源代码中,调用任何 Parse 函数都有可能因整数溢出而造成无限循环。(CVE-2023-24537)
- 模板未正确将反引号 (`) 视为 Javascript 字符串分隔符,也未按预期对其进行转义。自 ES6 起,反引号可用于 JS 模板文本。如果模板的 Javascript 模板文本中包含 Go 模板操作,则此操作的内容可用于停用文本,进而将任意 Javascript 代码注入 Go 模板。ES6 模板文字相当复杂,且其本身可以执行字符串插入操作,因此决定简单地禁止在此类文字中使用 Go 模板操作(例如 var a = {{.}}),因为没有显然安全的方式支持此行为。此方法与 github.com/google/safehtml 相同。经修复后,Template.Parse 在遇到此类模板时会返回一个 ErrorCode 值为 12 的错误。此 ErrorCode 当前并未导出,但将在 Go 1.21 版本中导出。依赖之前行为的用户可以使用 GODEBUG 标记 jstmpllitinterp=1 重新启用它,但需要注意的是现在将对反引号进行转义。应谨慎使用此做法。(CVE-2023-24538)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“dnf update golang --releasever 2023.0.20230503”以更新系统。另见
https://alas.aws.amazon.com/AL2023/ALAS-2023-175.html
https://alas.aws.amazon.com/cve/html/CVE-2022-23772.html
https://alas.aws.amazon.com/cve/html/CVE-2022-23773.html
https://alas.aws.amazon.com/cve/html/CVE-2022-23806.html
https://alas.aws.amazon.com/cve/html/CVE-2022-2880.html
https://alas.aws.amazon.com/cve/html/CVE-2022-30580.html
https://alas.aws.amazon.com/cve/html/CVE-2022-30634.html
https://alas.aws.amazon.com/cve/html/CVE-2022-41717.html
https://alas.aws.amazon.com/cve/html/CVE-2022-41722.html
https://alas.aws.amazon.com/cve/html/CVE-2022-41724.html
https://alas.aws.amazon.com/cve/html/CVE-2022-41725.html
https://alas.aws.amazon.com/cve/html/CVE-2023-24532.html
https://alas.aws.amazon.com/cve/html/CVE-2023-24534.html
https://alas.aws.amazon.com/cve/html/CVE-2023-24536.html
https://alas.aws.amazon.com/cve/html/CVE-2023-24537.html
插件详情
严重性: Critical
ID: 175071
文件名: al2023_ALAS2023-2023-175.nasl
版本: 1.3
类型: local
代理: unix
发布时间: 2023/5/3
最近更新时间: 2024/12/11
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
CVSS 分数来源: CVE-2022-23806
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2023-24538
漏洞信息
CPE: p-cpe:/a:amazon:linux:golang-bin, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:golang-race, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-misc, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-src
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/4/27
漏洞发布日期: 2022/2/11
参考资料信息
CVE: CVE-2022-23772, CVE-2022-23773, CVE-2022-23806, CVE-2022-2880, CVE-2022-30580, CVE-2022-30634, CVE-2022-41717, CVE-2022-41722, CVE-2022-41724, CVE-2022-41725, CVE-2023-24532, CVE-2023-24534, CVE-2023-24536, CVE-2023-24537, CVE-2023-24538
IAVB: 2022-B-0008-S, 2022-B-0042-S, 2022-B-0059-S, 2023-B-0022-S