Amazon Linux 2：runfinch-finch (ALASDOCKER-2025-050)

critical Nessus 插件 ID 214926

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 runfinch-finch 版本低于 1.6.0-1。因此，该软件受到 ALAS2DOCKER-2025-050 公告中提及的多个漏洞影响。

2025-02-12：已将 CVE-2024-51744 添加到此公告中。

2025-02-12：已将 CVE-2024-45338 添加到此公告中。

滥用 ServerConfig.PublicKeyCallback 回调的应用程序和库可能容易受到授权绕过漏洞影响。ServerConfig.PublicKeyCallback 的文档中称，调用此函数不保证所提供的密钥确实用于身份验证。具体来说，SSH 协议允许客户端在证明对相应私钥的控制权之前查询公钥是否可接受。可以使用多个密钥调用 PublicKeyCallback，但无法使用提供密钥的顺序来推断客户端使用哪个密钥成功通过身份验证（如果有）。
某些会存储传递给 PublicKeyCallback 的密钥（或派生信息）并在建立连接后基于该密钥做出安全相关确定的应用程序可能会做出错误假设。例如，攻击者可能发送公钥 A 和 B，然后使用 A 进行身份验证。
PublicKeyCallback 只会被调用两次，第一次使用 A，然后使用 B。之后，易受攻击的应用程序可能会根据攻击者实际未控制其私钥的密钥 B 做出授权决策。由于此 API 遭到广泛滥用，因此作为部分缓解措施，golang.org/x/[email protected] 会强制执行以下属性：当通过公钥成功进行身份验证时，最后传递给 ServerConfig.PublicKeyCallback 的密钥是对连接进行身份验证时使用的密钥。如有必要，现在会使用相同的密钥多次调用 PublicKeyCallback。请注意，如果之后使用其他方法（例如 PasswordCallback、KeyboardInteractiveCallback 或 NoClientAuth）对连接进行身份验证，客户端可能仍然无法控制最后一次传递给 PublicKeyCallback 的密钥。用户应使用来自各种身份验证回调的“权限”返回值的 Extensions 字段来记录与身份验证尝试相关的数据，而不是引用外部状态。建立连接后，可通过 ServerConn.Permissions 字段检索与成功的身份验证尝试对应的状态。请注意，某些第三方库通过在身份验证尝试之间共享“权限”类型来加以滥用；使用第三方库的用户应参阅相关项目以获取指导。(CVE-2024-45337)

攻击者可伪造 Parse 函数的输入，而程序会以非线性方式处理其长度，进而导致解析速度非常慢。这可能造成程序拒绝服务。(CVE-2024-45338)

golang-jwt 是 JSON Web 标记的 Go 实现。“ParseWithClaims”中错误行为的说明文档不够清晰，可导致用户可能不会以应有的方式检查错误。特别是在标记已过期且无效的情况下，“ParseWithClaims”返回的错误会同时返回这两种错误代码。如果用户仅使用“error.Is”检查“jwt.ErrTokenExpired”，则程序会忽略嵌入的“jwt.ErrTokenSignatureInvalid”，因此可能接受无效的标记。现已将补丁向后移植到错误处理逻辑，从“v5”分支移植到“v4”分支。在此逻辑中，“ParseWithClaims”函数将在遇到危险情况（例如签名无效）时立即返回，从而将组合错误限制为仅签名有效但进一步验证失败的情况（例如，如果签名有效，但是已过期且对象不正确）。此补丁是 4.5.1 版本的一部分。我们知道这会更改已建立函数的行为，并且不是 100 % 向后兼容，因此更新到 4.5.1 可能会损坏您的代码。如果无法更新到 4.5.0，请确保正确检查所有错误（首先检查危险错误），以免出现上述情况。(CVE-2024-51744)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。