Amazon Linux 2pcs、 --advisory ALAS2-2025-3046 (ALAS-2025-3046)

high Nessus 插件 ID 271769

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 pcs 版本低于 0.9.169-3。因此，该软件受到 ALAS2-2025-3046 公告中提及的多个漏洞影响。

Rack 是一个模块化 Ruby Web 服务器界面。在 2.2.19、 3.1.17和 3.2.2之前的版本中“Rack::Multipart::Parser”会在内存中缓冲整个多部分前导码第一个边界之前的字节)而没有任何大小限制。客户端可以发送包含大量前导数据、后接有效边界符的请求，导致服务器内存被大量占用，并可能因内存耗尽 (OOM) 而引发进程终止。远程攻击者可通过在 multipart/form-data 请求中包含长序言来触发大型瞬态内存峰值。影响会随着允许的请求大小和并发程度而扩大可能因垃圾回收而造成工作线程崩溃或速度严重变慢。版本 2.2.19、 3.1.17和 3.2.2 强制实施前导码大小限制例如 16 KiB或完全丢弃前导码数据。变通方案包括在代理或 Web 服务器级别限制请求正文的总大小，以及监控内存和设置每个进程的限制以避免 OOM 的情况。 (CVE-2025-61770)

Rack 是一个模块化 Ruby Web 服务器界面。在 2.2.19、 3.1.17和 3.2.2之前的版本中“Rack::Multipart::Parser”将非文件表单字段不具有“filename”的部分作为 Ruby“String”对象完全存储在内存中。multipart/form-data 请求中的单个大型文本字段数百兆或更多可消耗同等的进程内存可能导致内存不足 (OOM) 情况和拒绝服务 (DoS)。攻击者可发送大型非文件字段以触发过量内存使用。
影响会随着请求大小和并发性而扩大可能导致工作线程崩溃或严重的垃圾收集开销。所有处理多部分表单提交的 Rack 应用程序都会受到影响。版本 2.2.19、 3.1.17和 3.2.2 对非文件字段强制设定合理的大小上限例如 2 MiB。变通方案包括在网络服务器或代理层（如 Nginx `client_max_body_size`）限制最大请求正文大小，以及在应用程序级别验证和拒绝异常大的表单字段。
(CVE-2025-61771)

Rack 是一个模块化 Ruby Web 服务器界面。在 2.2.19、 3.1.17和 3.2.2之前的版本中当多部分部分的标头块始终以所需的空行“CRLFCRLF”终止时“Rack::Multipart::Parser”会累积无限数据。解析器在没有大小上限的情况下，不断将传入的字节附加到内存，从而允许远程攻击者耗尽内存并造成拒绝服务 (DoS)。
攻击者可发送不完整的多部分标头以触发高内存使用率从而导致进程终止 (OOM) 或严重延迟。效果随着请求大小限制和并发而扩大。所有处理分段上传的应用程序可能会受到影响。版本 2.2.19、 3.1.17和 3.2.2 限制了每个部分的标头大小例如 64 KiB。变通方案为在代理或 Web 服务器层限制最大请求大小（例如 Nginx `client_max_body_size`）。 (CVE-2025-61772)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。