检测

Amazon Linux 2 : golang (ALAS-2025-2795)

medium Nessus 插件 ID 233376

语言:

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 golang 版本低于 1.23.7-1。因此,该软件受到 ALAS2-2025-2795 公告中提及的多个漏洞影响。

 net/http:跨域重定向后错误地发送敏感标头

 HTTP 客户端在遵循跨域重定向后删除敏感标头。例如:向 a.com/ 发起携带 Authorization 标头的请求若被重定向至 b.com/,则该标头不会随请求发送至 b.com。

 但是,如果客户端收到后续的同域重定向,则将还原敏感标头。例如,从 a.com/ 到 b.com/1,最后到 b.com/2 的一系列重定向会错误地将 Authorization 标头发送到 b.com/2。

 感谢 Kyle Seely 报告此问题。(CVE-2024-45336)

 crypto/x509:使用 IPv6 区域 ID 可绕过 URI 名称限制

 若证书的 URI 含有带区域 ID 的 IPv6 地址,可能会错误地满足适用于证书链的 URI 名称限制。

 不允许在 Web PKI 中使用包含 URI 的证书,因此此问题仅影响使用 URI 的私有 PKI 用户。

 感谢 Mattermost 的 Juho Forsen 报告此问题。(CVE-2024-45341)

 注意:https://groups.google.com/g/golang-announce/c/4t3lzH3I0eI/m/b42ImqrBAQAJNOTE:
 https://github.com/golang/go/issues/71984NOTE: 修复人:
 https://github.com/golang/go/commit/334de7982f8ec959c74470dd709ceedfd6dbd50a (go1.24.1) 注意:修复人:
 https://github.com/golang/go/commit/25177ecde0922c50753c043579d17828b7ee88e7 (go1.23.7) (CVE-2025-22870)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行 'yum update golang' 以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2025-2795.html

https://alas.aws.amazon.com/cve/html/CVE-2024-45336.html

https://alas.aws.amazon.com/cve/html/CVE-2024-45341.html

https://alas.aws.amazon.com/cve/html/CVE-2025-22870.html

https://alas.aws.amazon.com/faqs.html

插件详情

严重性: Medium

ID: 233376

文件名: al2_ALAS-2025-2795.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/3/27

最近更新时间: 2025/3/27

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2024-45341

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:golang-bin, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-misc, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-src

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2025/3/13

漏洞发布日期: 2025/1/21

参考资料信息

CVE: CVE-2024-45336, CVE-2024-45341, CVE-2025-22870

IAVB: 2025-B-0010-S