Amazon Linux 2 : ecs-service-connect-agent、 --advisory ALAS2ECS-2025-093 (ALASECS-2025-093)

high Nessus 插件 ID 281808

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 ecs-service-connect-agent 版本低于 v1.34.4.2-1。因此，该软件受到 ALAS2ECS-2025-093 公告中提及的多个漏洞影响。

gRPC-C++ 中的数据损坏可导致拒绝服务 - 通过通道参数 GRPC_ARG_TCP_TX_ZEROCOPY_ENABLED 启用传输零复制的 gRPC-C++ 服务器可能会遇到数据损坏问题。应用程序发送的数据在通过网络传输之前可能已损坏，从而导致接收器接收到错误的字节集，造成 RPC 请求失败。建议升级过去的提交 e9046b2bbebc0cb7f5dc42008f807f6c7e98e791(CVE-2024-11407)

及之前版本的 LuaJIT 2.1 在 lj_strfmt_num.c 的 lj_strfmt_wfnum 中存在堆栈缓冲区溢出。 (CVE-2024-25176)

LuaJIT 之前的版本 2.1 具有用于 NULL 元表的 IR_FSTORE 卸载这可能导致拒绝服务 (DoS)。 (CVE-2024-25177)

到 2.1 的LuaJIT 在 lj_state.c 的堆栈溢出处理程序中存在越界读取 (CVE-2024-25178)

当 libcurl 被要求对带有“CURLOPT_ACCEPT_ENCODING”选项的内容编码 HTTP 响应执行自动 gzip 解压缩时使用 zlib [] 或更早版本**使用 zlib 1.2.0.3 或更早版本**时由攻击者控制的整数溢出将使 libcurl 执行缓冲区溢出。 (CVE-2025-0725)

Envoy 是一种开源 L7 代理和通信总线，专为面向大型现代服务的架构而设计。版本 1.34.0 至 1.34.4 和 1.35.0 的DNS 缓存中含有一个释放后使用 (UAF) 漏洞可造成进程异常终止。该漏洞存在于 Envoy 的动态转发代理实现中当 DNS 解析的完成回调触发新的 DNS 解析或删除现有的待定解析时会发生。当满足下列条件时可能发生此情况：
启用了动态转发过滤器、启用了“envoy.reloadable_features.dfp_cluster_resolves_hosts”运行时标记并在动态转发过滤器和路由器过滤器之间修改了主机标头。
此问题已在版本 1.34.5 和 1.35.1中解决。若要临时解决此问题请将 envoy.reloadable_features.dfp_cluster_resolves_hosts 运行时标记设置为 false。 (CVE-2025-54588)

Envoy 是一种开源 L7 代理和通信总线，专为面向大型现代服务的架构而设计。在低于 1.32.10 和 1.33.0 到 1.33.6、 1.34.0 到 1.34.4 和 1.35.0的版本中Envoy OAuth2 过滤器中的会话到期时间不足会导致注销操作失败。当配置有 __Secure- 或 __Host- 前缀的 cookie 名称时过滤器在删除期间无法将所需的 Secure 属性附加至 Set-Cookie 标头。现代浏览器忽略此无效请求导致会话 cookie 持续存在。这可使用户在认为自己已注销后仍保持登录状态，从而在共享计算机上造成会话劫持风险。当前实现会迭代已配置的 Cookie 名称以生成删除标头但不会检查这些前缀。未能正确构建删除标头意味着浏览器永远不会删除用户的会话 cookie从而使会话保持活动状态并允许相同浏览器的下一个用户获得对原始用户的帐户和数据的未经授权的访问。此问题已在版本 1.32.10、 1.33.7、 1.34.5 和 1.35.1中修复。 (CVE-2025-55162)

Envoy 是一个云原生开源连线和服务代理。在低于 1.36.1、 1.35.5、 1.34.9和 1.33.10的版本中大型请求和响应可能因 Envoy 中的流控制管理而触发 TCP 连接池崩溃。当连接将关闭但上游数据仍在传入中时会发生这种情况导致缓冲区水印回调 nullptr 引用。漏洞会影响 TCP 代理以及基于 ALPN 的 HTTP 1 & 2 混合用例。此漏洞已在 1.36.1、 1.35.5、 1.34.9和 1.33.10中修复。
(CVE-2025-62409)

Envoy 是一个开源边缘和服务代理。低于 1.36.2、 1.35.6、 1.34.10和 1.33.12 的 Envoy 版本的 Lua 过滤器中包含一个释放后使用漏洞。当在响应阶段执行的 Lua 脚本重写响应正文使其大小超过配置的 per_connection_buffer_limit_bytes默认 1MB时Envoy 会生成标头覆盖原始响应头的本地回复留下悬摆引用并造成崩溃。这会导致拒绝服务。更新到版本 1.36.2、 1.35.6、 1.34.10或 1.33.12 修复了此问题。增加 per_connection_buffer_limit_bytes如果是 HTTP/2则为initial_stream_window_size或增加 per_request_buffer_limit_bytes / request_body_buffer_limit可以降低触发情况的可能性但并未修正底层的内存安全缺陷。 (CVE-2025-62504)

Envoy 是一款高性能边缘/中间/服务代理。在 1.33.12、 1.34.10、 1.35.6、 1.36.2和更早版本中当 JWT 认证配置为远程 JWKS 提取、allow_missing_or_failed 启用、请求标头中存在多种 JWT 标记以及 JWKS 提取失败时Envoy 会崩溃。这是JwksFetcherImpl 中的一个重新进入缺陷造成的。当第一个标记的 JWKS 提取失败时onJwksError() 回调会触发对第二个标记的处理这会在同一个 fetcher 对象上再次调用 fetch()。
然后原始回调的 reset() 会清除第二个 fetch 的状态receiver_ 和 request_这将在异步 HTTP 响应到达时导致崩溃。 (CVE-2025-64527)

Envoy 是一款高性能边缘/中间/服务代理。在 1.33.12、 1.34.10、 1.35.6、 1.36.2和更早版本中当 Envoy 配置为 TCP 代理模式以处理 CONNECT 请求时它会在发出 2xx 响应之前接受客户端数据并将该数据转发到上游 TCP 连接。如果 Envoy 的转发代理上游随后响应非 2xx 状态则可导致 CONNECT 隧道状态不同步。默认情况下Envoy 继续允许早期 CONNECT 数据以避免中断现有部署。
可设置 envoy.reloadable_features.reject_early_connect_data 运行时标记以拒绝当 Envoy 上游的中介可拒绝建立 CONNECT 隧道时在 2xx 响应之前发送数据的 CONNECT 请求。 (CVE-2025-64763)

Envoy 是一款高性能边缘/中间/服务代理。在 1.33.12、 1.34.10、 1.35.6、 1.36.2和更早版本中Envoy match_typed_subject_alt_names 的 mTLS 证书匹配程序可能会错误地将在 USERNAME SAN 值内包含内嵌空字节 (\0) 的证书视为有效匹配。 (CVE-2025-66220)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。