Amazon Linux 2023：git-lfs (ALAS2023-2025-1258)

high Nessus 插件 ID 274682

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2025-1258 公告中提及的多个漏洞影响。

Git LFS 是一个用于对大文件进行版本控制的 Git 扩展。在 Git LFS 到 3.7.0之前的版本0.5.2中，当以 Git LFS 对象的内容填充 Git 存储库的工作树时，如果存在与 Git LFS 跟踪的文件路径冲突的符号链接或硬链接，某些 Git LFS 命令可能会写入当前 Git 工作树外部可见的文件。git lfs checkout 和 git lfs pull 命令在写入工作树中的文件之前未检查符号链接，这允许攻击者构建包含符号链接或硬链接的存储库，从而导致 Git LFS 写入运行这些命令的用户可访问的任意文件系统位置。同样，在裸存储库中运行 git lfs checkout 和 git lfs pull 命令时，它们可写入存储库外部可见的文件。该漏洞已在版本 3.7.1中修复。作为变通方案，可通过将 core.symlinks 配置选项设置为 false 来禁用 Git 中对符号链接的支持，之后其他克隆和提取将不会创建符号链接。然而，现有存储库中的任何符号链接或硬链接仍将为 Git LFS 提供写入其目标的机会。（CVE-2025-26625）

crypto/x509：检查名称限制时的二次复杂度

由于名称限制检查算法的设计，某些输入的处理时间会随证书大小呈非线性变化。

这会影响验证任意证书链的程序。（CVE-2025-58187）

archive/zip：解析任意 ZIP 存档时可能触发拒绝服务漏洞 (CVE-2025-61728)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。