Amazon Linux 2：amazon-cloudwatch-agent (ALAS-2025-2779)

critical Nessus 插件 ID 232366

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 amazon-cloudwatch-agent 版本低于 1.300052.1-1。因此，该软件受到 ALAS2-2025-2779 公告中提及的多个漏洞影响。

对包含深度嵌套文字的 Go 源代码调用任何 Parse 函数都可导致堆栈耗尽，进而造成错误。(CVE-2024-34155)

对包含深度嵌套结构的消息调用 Decoder.Decode 可导致堆栈耗尽，进而造成错误。这是针对 CVE-2022-30635 的后续措施。(CVE-2024-34156)

对包含深度嵌套表达式的“// +build”构建标记行调用 Parse 可导致堆栈耗尽，进而造成错误。(CVE-2024-34158)

滥用 ServerConfig.PublicKeyCallback 回调的应用程序和库可能容易受到授权绕过漏洞影响。ServerConfig.PublicKeyCallback 的文档中称，调用此函数不保证所提供的密钥确实用于身份验证。具体来说，SSH 协议允许客户端在证明对相应私钥的控制权之前查询公钥是否可接受。可以使用多个密钥调用 PublicKeyCallback，但无法使用提供密钥的顺序来推断客户端使用哪个密钥成功通过身份验证（如果有）。
某些会存储传递给 PublicKeyCallback 的密钥（或派生信息）并在建立连接后基于该密钥做出安全相关确定的应用程序可能会做出错误假设。例如，攻击者可能发送公钥 A 和 B，然后使用 A 进行身份验证。
PublicKeyCallback 只会被调用两次，第一次使用 A，然后使用 B。之后，易受攻击的应用程序可能会根据攻击者实际未控制其私钥的密钥 B 做出授权决策。由于此 API 遭到广泛滥用，因此作为部分缓解措施，golang.org/x/[email protected] 会强制执行以下属性：当通过公钥成功进行身份验证时，最后传递给 ServerConfig.PublicKeyCallback 的密钥是对连接进行身份验证时使用的密钥。如有必要，现在会使用相同的密钥多次调用 PublicKeyCallback。请注意，如果之后使用其他方法（例如 PasswordCallback、KeyboardInteractiveCallback 或 NoClientAuth）对连接进行身份验证，客户端可能仍然无法控制最后一次传递给 PublicKeyCallback 的密钥。用户应使用来自各种身份验证回调的“权限”返回值的 Extensions 字段来记录与身份验证尝试相关的数据，而不是引用外部状态。建立连接后，可通过 ServerConn.Permissions 字段检索与成功的身份验证尝试对应的状态。请注意，某些第三方库通过在身份验证尝试之间共享“权限”类型来加以滥用；使用第三方库的用户应参阅相关项目以获取指导。(CVE-2024-45337)

攻击者可伪造 Parse 函数的输入，而程序会以非线性方式处理其长度，进而导致解析速度非常慢。这可能造成程序拒绝服务。(CVE-2024-45338)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。