检测

Amazon Linux 2023:containerd、containerd-stress (ALAS2023-2024-499)

medium Nessus 插件 ID 189336

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,它受到 ALAS2023-2024-499 公告中提及的一个漏洞影响。

 2024-08-09:已将 CVE-2023-47108 从此公告中删除。2024-08-09:此公告的严重性已从“重要”更改为“中危”。2024-04-10:已将 CVE-2023-39326 添加到此公告。

 2024-02-20:已将 CVE-2023-39325 从此公告中删除。

 2024-02-01:已将 CVE-2023-47108 添加到此公告中。

 恶意 HTTP 发送方可以使用区块扩展来导致读取请求或响应正文的接收方从网络中读取比正文中更多的字节。当处理程序无法读取请求的整个正文时,恶意 HTTP 客户端可以进一步利用此问题导致服务器自动读取大量数据(最多约 1GiB)。区块扩展是一项很少使用的 HTTP 功能,允许在使用分块编码方式发送的请求或响应正文中包含附加元数据。net/http 分块编码读取器会丢弃此元数据。发送方可以通过在传输的每个字节中插入大的元数据段来利用这一点。如果实体与编码字节的比率变得太小,区块读取器现在会出现错误。(CVE-2023-39326)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update containerd --releasever 2023.3.20240122”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2024-499.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2023-39326.html

插件详情

严重性: Medium

ID: 189336

文件名: al2023_ALAS2023-2024-499.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2024/1/23

最近更新时间: 2024/12/11

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 1.4

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2023-39326

CVSS v3

风险因素: Medium

基本分数: 5.3

时间分数: 4.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:containerd-debuginfo, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:containerd, p-cpe:/a:amazon:linux:containerd-stress, p-cpe:/a:amazon:linux:containerd-debugsource, p-cpe:/a:amazon:linux:containerd-stress-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2024/1/19

漏洞发布日期: 2023/10/11

参考资料信息

CVE: CVE-2023-39326

IAVB: 2023-B-0080-S