Amazon Linux 2:runfinch-finch (ALASDOCKER-2025-048)
low Nessus 插件 ID 214619
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 runfinch-finch 版本低于 1.6.0-1。因此,该软件受到 ALAS2DOCKER-2025-048 公告中提及的多个漏洞影响。攻击者可伪造 Parse 函数的输入,而程序会以非线性方式处理其长度,进而导致解析速度非常慢。这可能造成程序拒绝服务。(CVE-2024-45338)
golang-jwt 是 JSON Web 标记的 Go 实现。“ParseWithClaims”中错误行为的说明文档不够清晰,可导致用户可能不会以应有的方式检查错误。特别是在标记已过期且无效的情况下,“ParseWithClaims”返回的错误会同时返回这两种错误代码。如果用户仅使用“error.Is”检查“jwt.ErrTokenExpired”,则程序会忽略嵌入的“jwt.ErrTokenSignatureInvalid”,因此可能接受无效的标记。现已将补丁向后移植到错误处理逻辑,从“v5”分支移植到“v4”分支。在此逻辑中,“ParseWithClaims”函数将在遇到危险情况(例如签名无效)时立即返回,从而将组合错误限制为仅签名有效但进一步验证失败的情况(例如,如果签名有效,但是已过期且对象不正确)。此补丁是 4.5.1 版本的一部分。我们知道这会更改已建立函数的行为,并且不是 100 % 向后兼容,因此更新到 4.5.1 可能会损坏您的代码。如果无法更新到 4.5.0,请确保正确检查所有错误(首先检查危险错误),以免出现上述情况。(CVE-2024-51744)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update runfinch-finch”以更新系统。另见
https://alas.aws.amazon.com/AL2/ALASDOCKER-2025-048.html
https://alas.aws.amazon.com/cve/html/CVE-2024-45338.html
插件详情
严重性: Low
ID: 214619
文件名: al2_ALASDOCKER-2025-048.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/1/24
最近更新时间: 2025/1/24
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 1.4
CVSS v2
风险因素: Low
基本分数: 2.6
时间分数: 1.9
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2024-51744
CVSS v3
风险因素: Low
基本分数: 3.1
时间分数: 2.7
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:runfinch-finch
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2025/1/21
漏洞发布日期: 2024/11/4
参考资料信息
CVE: CVE-2024-45338, CVE-2024-51744