Amazon Linux 2023:golang、golang-bin、golang-misc (ALAS2023-2024-629)
high Nessus 插件 ID 197969
语言:
简介
远程 Amazon Linux 2023 主机缺少安全更新。描述
因此,它受到 ALAS2023-2024-629 公告中提及的多个漏洞影响。攻击者可能会通过发送过量的 CONTINUATION 帧,造成 HTTP/2 端点读取任意数量的标头数据。维护 HPACK 状态需要解析和处理一个连接中的所有标头和 CONTINUATION 框架。如果请求的标头超过 MaxHeaderBytes,系统不会分配内存来存储超出的标头,但仍会对其进行解析。这允许攻击者导致 HTTP/2 端点读取任意数量的标头数据,所有数据都与将被拒绝的请求相关。这些标头可包含经哈夫曼 (Huffman) 解码的数据,接收者解码这些数据的成本比攻击者发送这些数据的成本高很多。此次修复对关闭连接前要处理的过量标头帧数量设定了限制。(CVE-2023-45288)
如果 HTTP 重定向至与子域不匹配或与初始域不完全匹配的域,http.Client 不会转发敏感标头,例如 Authorization 或 Cookie。例如,从 foo.com 重定向至 www.foo.com 会转发 Authorization 标头,但重定向至 bar.com 则不会转发此标头。- 恶意构建的 HTTP 重定向可导致意外转发敏感标头。(CVE-2023-45289)
解析多部分表单(使用 Request.ParseMultipartForm 显式解析,或使用 Request.FormValue、Request.PostFormValue 或 Request.FormFile 隐式解析)时,对已解析表单总大小的限制并未应用到读取单个表单行时消耗的内存。因此,恶意构建的包含超长行的输入可以造成任意大量内存被分配,进而可能导致内存耗尽。修复之后,ParseMultipartForm 函数现在可以正确限制表单行的最大大小。(CVE-2023-45290)
验证包含具有未知公钥算法证书的证书链将导致 Certificate.Verify 发生错误。这会影响所有 crypto/tls 客户端,以及将 Config.ClientAuth 设置为 VerifyClientCertIfGiven 或 RequireAndVerifyClientCert 的服务器。TLS 服务器的默认行为是不验证客户端证书。(CVE-2024-24783)
-ParseAddressList 函数未正确处理显示名称中的注释(括号中的文本)。
由于这是一致性地址解析器的未对齐问题,因此可能导致使用不同解析器的程序做出不同的信任决策。(CVE-2024-24784)
如果 MarshalJSON 方法返回的错误包含用户控制的数据,则可能被用来破坏 html/template 程序包的上下文自动转义行为,进而允许通过后续操作将非预期内容注入模板。(CVE-2024-24785)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“dnf update golang --releasever 2023.4.20240528”以更新系统。另见
https://alas.aws.amazon.com/AL2023/ALAS-2024-629.html
https://alas.aws.amazon.com/cve/html/CVE-2023-45288.html
https://alas.aws.amazon.com/cve/html/CVE-2023-45289.html
https://alas.aws.amazon.com/cve/html/CVE-2023-45290.html
https://alas.aws.amazon.com/cve/html/CVE-2024-24783.html
https://alas.aws.amazon.com/cve/html/CVE-2024-24784.html
插件详情
严重性: High
ID: 197969
文件名: al2023_ALAS2023-2024-629.nasl
版本: 1.4
类型: local
代理: unix
发布时间: 2024/5/28
最近更新时间: 2024/12/11
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 分数来源: CVE-2024-24785
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2024-24784
漏洞信息
CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-src, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc, cpe:/o:amazon:linux:2023
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/5/23
漏洞发布日期: 2024/3/5
参考资料信息
CVE: CVE-2023-45288, CVE-2023-45289, CVE-2023-45290, CVE-2024-24783, CVE-2024-24784, CVE-2024-24785
IAVB: 2024-B-0020-S, 2024-B-0032-S