Amazon Linux 2：amazon-cloudwatch-agent (ALAS-2024-2424)

medium Nessus 插件 ID 189333

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 amazon-cloudwatch-agent 版本低于 1.300032.3-1。因此，如公告 ALAS2-2024-2424 所述，受到多个漏洞的影响。

- 恶意 HTTP/2 客户端如快速创建请求并立即重置请求，可能会导致服务器资源消耗过多。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制，但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后，HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求（这只能在客户端重置目前正在进行的请求之后发生）将排入队列，直到处理程序退出。如果请求队列变得太大，服务器将终止连接。对于手动配置 HTTP/2 的用户，golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流（请求）。可以使用 golang.org/x/net/http2 包来调整该值。请参阅 Server.MaxConcurrentStreams 设置和 ConfigureServer 函数。(CVE-2023-39325)

- 恶意 HTTP 发送方可以使用区块扩展来导致读取请求或响应正文的接收方从网络中读取比正文中更多的字节。当处理程序无法读取请求的整个正文时，恶意 HTTP 客户端可以进一步利用此问题导致服务器自动读取大量数据（最多约 1GiB）。区块扩展是一项很少使用的 HTTP 功能，允许在使用分块编码方式发送的请求或响应正文中包含附加元数据。net/http 分块编码读取器会丢弃此元数据。发送方可以通过在传输的每个字节中插入大的元数据段来利用这一点。如果实体与编码字节的比率变得太小，区块读取器现在会出现错误。(CVE-2023-39326)

- OpenTelemetry-Go Contrib 由一系列适用于 OpenTelemetry-Go 的第三方程序包组成。现成可用的处理程序封装程序会添加基数未绑定的标签“http.user_agent”和“http.method”。如果向服务器发送许多恶意请求，可能会导致其内存耗尽。攻击者可轻松将请求的 HTTP 标头 User-Agent 或 HTTP 方法设置为随机且较长。库会在内部使用记录 HTTP“方法”和“User-Agent”的每个值的“httpconv.ServerRequest”。收到影响的条件为：程序必须使用“otelhttp.NewHandler”封装程序并且不在 CDN、LB、以前的中间件等级别上过滤任何未知的 HTTP 方法或用户代理。版本 0.44.0 版本修复了这个问题，当收集 http.request.method 属性的值时，将其限制为一组众所周知的值，并删除了其他高基数属性。作为变通方案，可以使用 otelhttp.WithFilter() 来解决此问题，但这需要仔细手动配置，以避免完全记录某些请求。为了方便和安全地使用该库，默认情况下应该使用标签“未知”来标记非标准的 HTTP 方法和用户代理，以显示这样的请求已经发生，但不增加基数。如果有人想继续使用当前行为，库 API 应允许启用它。(CVE-2023-45142)

- OpenTelemetry-Go Contrib 由一系列适用于 OpenTelemetry-Go 的第三方程序包组成。在低于 0.46.0 的版本中，开箱即用的 grpc Unary Server Interceptor 会添加未绑定基数的“net.peer.sock.addr”和“net.peer.sock.port”标签。如果发送许多恶意请求，可能会导致服务器内存耗尽。攻击者可轻松针对请求对对等机地址和端口进行洪流攻击。0.46.0 版包含针对此问题的补丁。作为不受影响的变通方案，可以使用删除属性的视图。另一种方法是通过传递包含“noop.NewMeterProvider”的“otelgrpc.WithMeterProvider”选项来禁用 grpc 指标检测。(CVE-2023-47108)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。