Amazon Linux 2023：amazon-cloudwatch-agent (ALAS2023-2025-968)

high Nessus 插件 ID 235902

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2025-968 公告中提及的多个漏洞影响。

net/http 程序包接受了分块传输编码中的数据，其中包含以纯 LF 终止的无效区块大小行。当与服务器或代理结合使用时，如果服务器或代理错误地将分块扩展中纯 LF 解释为扩展的一部分，就会允许请求走私。
(CVE-2025-22871)

Expr 是 Go 的表达式语言和表达式评估。在版本 1.17.0 之前，如果为 Expr 表达式解析器提供未限制输入的字符串，它将尝试编译整个字符串，并为表达式的各部分生成抽象语法树 (AST) 节点。在未限制输入大小的情况下，恶意或无意间极大的表达式可能会消耗过多内存，因为解析器构建了巨大的 AST。这最终可能导致*过量内存使用和进程的内存不足 (OOM) 崩溃。此问题相对少见，仅当对输入大小没有限制时才会出现，表达式长度可任意变长。在输入受到限制或验证的典型用例中，此问题不会出现。最新版本的 Expr 库中此问题已得到修复。修复后，在解析过程中对 AST 节点数量和内存使用量引入了编译时限制，防止任何单一表达式耗尽资源。用户应升级到 Expr 版本 1.17.0 或更高版本，因为此版本包含新的节点边界和内存限制防护措施。升级到 v1.17.0 可确保编译期间检测并安全中止极深或极大的表达式，从而避免 OOM 情况。对于无法立即升级的用户，建议在解析前施加输入大小限制的变通方案。实际上，这意味着要验证应用程序将接受的表达式字符串的长度，或限制其长度。例如，为任何表达式设置允许的最大字符数（或节点数），并拒绝或截断超出此限制的输入。通过确保不向解析器输入无限制长度的表达式，可以防止解析器构造出病态的大型 AST，并避免潜在的内存耗尽。简而言之，预先验证并限制输入大小，是作为缺少修补程序时的一项保障。
(CVE-2025-29786)

golang-jwt 是 JSON Web 标记的 Go 实现。在 5.2.2 和 4.5.2 之前的版本中，函数 parse.ParseUnverified 按句号拆分（通过调用 strings.Split）其参数（不受信任的数据）。因此，遇到授权标头由 Bearer 后跟许多句点字符组成的恶意请求时，调用该函数会造成 O(n) 字节调整的分配（其中 n 代表函数参数的长度)，常数因子大约为 16。此问题已在 5.2.2 和 4.5.2 中得到修补。(CVE-2025-30204)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。