检测

Amazon Linux 2023:golang、golang-bin、golang-misc (ALAS2023-2024-477)

high Nessus 插件 ID 187686

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,它受到公告 ALAS2023-2024-477 中提及的多个漏洞影响。

 - 恶意 HTTP 发送方可以使用区块扩展来导致读取请求或响应正文的接收方从网络中读取比正文中更多的字节。当处理程序无法读取请求的整个正文时,恶意 HTTP 客户端可以进一步利用此问题导致服务器自动读取大量数据(最多约 1GiB)。区块扩展是一项很少使用的 HTTP 功能,允许在使用分块编码方式发送的请求或响应正文中包含附加元数据。net/http 分块编码读取器会丢弃此元数据。发送方可以通过在传输的每个字节中插入大的元数据段来利用这一点。如果实体与编码字节的比率变得太小,区块读取器现在会出现错误。(CVE-2023-39326)

 - filepath 程序包未将前缀为 \??\ 的路径识别为特殊路径。在 Windows 中,以 \??\ 开头的路径为本地设备根路径,等同于以 \\?\ 开头的路径。前缀为 \??\ 的路径可被用于访问系统上的任意位置。例如,路径 \??\c:\x 等同于更常见的路径 c:\x。在修复前,Clean 可将有根的路径(例如 \a\..\??\b 转换为本地设备根路径 \??\b。Clean 现在会将其转换为 .\??\b。同样,Join(\, ??, b) 可将看似无需的路径元素转换为本地设备根路径 \??\b。Join 现在会将其转换为 \.\??\b。此外,通过修复,IsAbs 现在可以正确地将以 \??\ 开头的路径报告为绝对路径,并且 VolumeName 可以正确将 \??\ 前缀报告为卷名称。更新:Go 1.20.11 和 Go 1.21.4 无意中更改了以 \? 开头的 Windows 路径中卷名称的定义,导致 filepath.Clean(\?\c: ) 返回 \?\c: 而不是 \?\c: \(及其他影响)。之前的行为已恢复。(CVE-2023-45283)

 - 在 Windows 上,IsLocal 函数在某些情况下未正确检测保留的设备名称。后跟空格的保留名称(例如 COM1 ),以及后跟上标 1、2 或 3 的保留名称 COM 和 LPT 会被错误地报告为本地名称。通过修复,IsLocal 现在可以正确地将这些名称报告为非本地名称。(CVE-2023-45284)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update golang --releasever 2023.3.20240108”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2024-477.html

https://alas.aws.amazon.com/cve/html/CVE-2023-39326.html

https://alas.aws.amazon.com/cve/html/CVE-2023-45283.html

https://alas.aws.amazon.com/cve/html/CVE-2023-45284.html

https://alas.aws.amazon.com/faqs.html

插件详情

严重性: High

ID: 187686

文件名: al2023_ALAS2023-2024-477.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2024/1/8

最近更新时间: 2024/3/8

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2023-45283

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-src, p-cpe:/a:amazon:linux:golang-tests, cpe:/o:amazon:linux:2023

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2024/1/3

漏洞发布日期: 2023/11/9

参考资料信息

CVE: CVE-2023-39326, CVE-2023-45283, CVE-2023-45284

IAVB: 2023-B-0096-S