检测

Amazon Linux 2023:glib2、glib2-devel、glib2-static (ALAS2023-2025-1069)

low Nessus 插件 ID 241779

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,该软件受到 ALAS2023-2025-1069 公告中提及的多个漏洞影响。

 在 GLib 中发现一个缺陷。使用 g_date_time_new_from_iso8601() 函数解析较长的无效 ISO 8601 时间戳时,会发生整数溢出和缓冲区读取不足。(CVE-2025-3360)

 向字符串添加数据时,发现 GLib 的 GString 存在内存管理缺陷。当字符串本身已非常大时,若继续合并更多输入,可能在大小计算过程中发生隐藏的溢出问题。这会导致系统误以为有足够的内存,而实际却没有。结果可能会出现数据写入超出已分配内存范围的情况,从而导致程序崩溃或内存损坏。(CVE-2025-6052)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行 'dnf update glib2 --releasever 2023.8.20250707' 以更新系统。

另见

https://alas.aws.amazon.com//AL2023/ALAS2023-2025-1069.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2025-3360.html

https://explore.alas.aws.amazon.com/CVE-2025-6052.html

插件详情

严重性: Low

ID: 241779

文件名: al2023_ALAS2023-2025-1069.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2025/7/10

最近更新时间: 2025/7/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Low

基本分数: 2.6

时间分数: 1.9

矢量: CVSS2#AV:N/AC:H/Au:N/C:N/I:N/A:P

CVSS 分数来源: CVE-2025-6052

CVSS v3

风险因素: Low

基本分数: 3.7

时间分数: 3.2

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:glib2-devel-debuginfo, p-cpe:/a:amazon:linux:glib2-static, p-cpe:/a:amazon:linux:glib2-debuginfo, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:glib2-tests-debuginfo, p-cpe:/a:amazon:linux:glib2, p-cpe:/a:amazon:linux:glib2-doc, p-cpe:/a:amazon:linux:glib2-debugsource, p-cpe:/a:amazon:linux:glib2-tests, p-cpe:/a:amazon:linux:glib2-devel

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2025/7/10

漏洞发布日期: 2023/12/12

参考资料信息

CVE: CVE-2025-3360, CVE-2025-6052

IAVA: 2025-A-0322-S, 2025-A-0464