Amazon Linux 2 : aws-cfn-bootstrap, --advisory ALAS2-2025-3104 (ALAS-2025-3104)

medium Nessus 插件 ID 281817

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 aws-cfn-bootstrap 版本低于 2.0-38。因此，该软件受到 ALAS2-2025-3104 公告中提及的多个漏洞影响。

问题摘要： ECDSA 签名计算中存在时序边信道，可能允许恢复私钥。

影响摘要： ECDSA 签名计算中的时序边信道可以让攻击者恢复私钥。但是，测量时序需要对签名应用程序进行本地访问，或者需要具有低延迟且非常快速的网络连接。

当 top word ofthe inverted ECDSA nonce 值为 0 时，会出现约 300 纳秒的计时信号。只有在某些受支持的椭圆曲线上发生这种情况的可能性才较大。尤其是 NIST P-521 曲线会受到影响。为了能够测量此泄漏，攻击者进程必须位于同一台物理计算机中，或必须具有低延迟的极快网络连接。因此，此漏洞的严重性为低危。(CVE-2024-13176)

Requests 是一个 HTTP 库。由于存在 URL 解析问题， 2.32.4 之前的 Requests 版本可能会向特定恶意构建的 URL 中的第三方泄露 .netrc 凭据。用户应将版本升级到 2.32.4 以接收修复程序。对于较旧版本的 Requests，可在其请求会话中通过“trust_env=False”禁用 .netrc 文件的使用。 (CVE-2024-47081)

问题摘要：应用程序尝试解密使用基于密码的加密方式加密的 CMS 消息可触发越界读取和写入。

影响摘要此越界读取可能触发崩溃从而导致应用程序拒绝服务。越界写入可造成内存损坏其可造成多种后果包括拒绝服务或执行攻击者提供的代码。

尽管成功利用此漏洞的后果可能会很严重但攻击者能够执行此漏洞的可能性却很低。此外CMSmessages 中极少使用基于密码 (PWRI) 的加密支持。因此根据我们的安全策略该问题的严重性被评估为中危。

3.5、 3.4、 3.3、 3.2、 3.1 和 3.0 中的 FIPS 模块不受此问题的影响因为 CMS 实现位于 OpenSSL FIPS 模块边界之外。 (CVE-2025-9230)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。