Amazon Linux AMI：amazon-ssm-agent (ALAS-2024-1920)

critical Nessus 插件 ID 190705

语言：

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

远程主机上安装的 amazon-ssm-agent 版本低于 3.2.2222.0-1。因此，它受到 ALAS-2024-1920 公告中提及的多个漏洞影响。

- 恶意 HTTP/2 客户端如快速创建请求并立即重置请求，可能会导致服务器资源消耗过多。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制，但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后，HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求（这只能在客户端重置目前正在进行的请求之后发生）将排入队列，直到处理程序退出。如果请求队列变得太大，服务器将终止连接。对于手动配置 HTTP/2 的用户，golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流（请求）。可以使用 golang.org/x/net/http2 包来调整该值。请参阅 Server.MaxConcurrentStreams 设置和 ConfigureServer 函数。(CVE-2023-39325)

- 恶意 HTTP 发送方可以使用区块扩展来导致读取请求或响应正文的接收方从网络中读取比正文中更多的字节。当处理程序无法读取请求的整个正文时，恶意 HTTP 客户端可以进一步利用此问题导致服务器自动读取大量数据（最多约 1GiB）。区块扩展是一项很少使用的 HTTP 功能，允许在使用分块编码方式发送的请求或响应正文中包含附加元数据。net/http 分块编码读取器会丢弃此元数据。发送方可以通过在传输的每个字节中插入大的元数据段来利用这一点。如果实体与编码字节的比率变得太小，区块读取器现在会出现错误。(CVE-2023-39326)

- 在低于 v5.11 的 go-git 版本中发现一个拒绝服务 (DoS) 漏洞。攻击者可利用此漏洞，通过提供来自 Git 服务器的特别构建的响应（可触发 go-git 客户端中的资源耗尽）来执行拒绝服务攻击。仅使用 go-git 支持的内存文件系统的应用程序不受此漏洞的影响。此为 go-git 实现问题，不会影响上游 git cli。(CVE-2023-49568)

- 在低于 v5.11 的 go-git 版本中发现一个路径遍历漏洞。攻击者可利用此漏洞创建并修改跨文件系统的文件。最坏的情况是可实现远程代码执行。应用程序仅在使用 ChrootOS https://pkg.go.dev/github.com/go-git/go-billy/v5/osfs#ChrootOS 时才会受到影响，这是使用 Open 和 Clone 函数的普通版本（例如 PlainClone）时的默认设置。使用 BoundOS https://pkg.go.dev/github.com/go-git/go-billy/v5/osfs#BoundOS 或内存文件系统的应用程序不受此问题的影响。此为 go-git 实现问题，不会影响上游 git cli。
(CVE-2023-49569)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。