Amazon Linux 2：containerd (ALASDOCKER-2024-037)

critical Nessus 插件 ID 190049

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 containerd 版本低于 1.7.11-1。因此，它受到 ALAS2DOCKER-2024-037 公告中提及的多个漏洞影响。

- 恶意 HTTP/2 客户端如快速创建请求并立即重置请求，可能会导致服务器资源消耗过多。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制，但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后，HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求（这只能在客户端重置目前正在进行的请求之后发生）将排入队列，直到处理程序退出。如果请求队列变得太大，服务器将终止连接。对于手动配置 HTTP/2 的用户，golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流（请求）。可以使用 golang.org/x/net/http2 包来调整该值。请参阅 Server.MaxConcurrentStreams 设置和 ConfigureServer 函数。(CVE-2023-39325)

- 恶意 HTTP 发送方可以使用区块扩展来导致读取请求或响应正文的接收方从网络中读取比正文中更多的字节。当处理程序无法读取请求的整个正文时，恶意 HTTP 客户端可以进一步利用此问题导致服务器自动读取大量数据（最多约 1GiB）。区块扩展是一项很少使用的 HTTP 功能，允许在使用分块编码方式发送的请求或响应正文中包含附加元数据。net/http 分块编码读取器会丢弃此元数据。发送方可以通过在传输的每个字节中插入大的元数据段来利用这一点。如果实体与编码字节的比率变得太小，区块读取器现在会出现错误。(CVE-2023-39326)

- 不在 HTML 命名空间中的文本节点被错误地按字面呈现，导致应该转义的文本不存在。这会导致 XSS 攻击。(CVE-2023-3978)

- OpenTelemetry-Go Contrib 由一系列适用于 OpenTelemetry-Go 的第三方程序包组成。在低于 0.46.0 的版本中，开箱即用的 grpc Unary Server Interceptor 会添加未绑定基数的“net.peer.sock.addr”和“net.peer.sock.port”标签。如果发送许多恶意请求，可能会导致服务器内存耗尽。攻击者可轻松针对请求对对等机地址和端口进行洪流攻击。0.46.0 版包含针对此问题的补丁。作为不受影响的变通方案，可以使用删除属性的视图。另一种方法是通过传递包含“noop.NewMeterProvider”的“otelgrpc.WithMeterProvider”选项来禁用 grpc 指标检测。(CVE-2023-47108)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。