Amazon Linux 2：amazon-cloudwatch-agent (ALAS-2024-2630)

medium Nessus 插件 ID 206820

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 amazon-cloudwatch-agent 版本低于 1.300044.0-1。因此，它受到 ALAS2-2024-2630 公告中提及的多个漏洞影响。

Azure Identity 库和 Microsoft 身份验证库特权提升漏洞 (CVE-2024-35255)

OpenTelemetry Collector 提供了一种供应商无关的实现方式，用于接收、处理和导出遥测数据。不安全的解压缩漏洞可让未经身份验证的攻击者通过过量内存消耗造成收集器崩溃。OTel 收集器版本 0.102.1 修复了此问题。此问题也在 confighttp 模块版本 0.102.0 和 configgrpc 模块版本 0.102.1 中得以修复。(CVE-2024-36129)

AWS 发现 CVE-2024-41110，这是 Amazon Linux 的 docker 程序包中会影响 Moby 开源项目的问题。Docker 是包含多个开源容器管理系统的组件。

此问题不影响 docker 的默认配置。如果启用了授权插件，则针对 docker 后台程序特别构建的 API 请求将被转发到授权插件，其转发方式可能导致特权提升等非预期操作。启用授权插件是一种非典型配置。受影响的 API 端点不会泄露给默认、典型或建议配置中的网络。默认 EKS 和 ECS 配置不会将 API 端点泄露给网络。如果使用的是 ECS，则不支持启用 docker 授权插件。最后，在高于 1.24 的 EKS AMI 上未安装 docker。尽管 EKS 1.24 及更早版本中已安装 docker，但 EKS 不支持使用授权插件。

为解决问题而更新的 docker 程序包可用于 Amazon Linux 2（docker-20.10.25-1.amzn2.0.5 和 docker-25.0.6-1.amzn2.0.1）和 Amazon Linux 2023 (docker-25.0.6-1amzn2023.0.1)。AWS 建议使用 docker 的客户升级到这些版本或更高版本。(CVE-2024-41110)

0.7.7 之前的 go-retryablehttp 在将 URL 写入其日志文件时未对其进行审查。这可导致 go-retryablehttp 将敏感的 HTTP 基本认证凭据写入其日志文件。此漏洞 CVE-2024-6104 已在 go-retryablehttp 中修复 0.7.7。(CVE-2024-6104)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。