Amazon Linux 2023：amazon-cloudwatch-agent (ALAS2023-2025-1358)

medium Nessus 插件 ID 282383

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2025-1358 公告中提及的多个漏洞影响。

SSH 代理服务器在处理新的身份请求时不验证消息的大小如果消息因越界读取而格式错误这可能会造成程序发生错误。 (CVE-2025-47914)

解析 GSSAPI 认证请求的 SSH 服务器不会验证请求中指定的机制数量从而允许攻击者造成无限制的内存消耗。 (CVE-2025-58181)

crypto/x509排除的子域限制不限制通配符 SAN

证书链中排除子域的限制不会限制通配符 SAN 在叶证书中的使用。例如排除子域 test.example.com 的限制并不能阻止叶证书声明 SAN *.example.com。 (CVE-2025-61727)

在 HostnameError.Error() 内构造错误字符串时对打印输出的主机数量没有限制。此外错误字符串由重复的字符串连接所构建进而导致二次方的运行时。因此，由恶意执行者提供的证书可导致过度消耗资源。 (CVE-2025-61729)

Expr 是 Go 的表达式语言和表达式评估。在低于版本 1.17.7的情况下Expr 中的多个内置函数包括“flatten”、“min”、“max”、“mean”和“median”对用户提供的数据结构执行递归遍历而不强制实施最大递归深度。如果评估环境包含深度嵌套或循环数据结构这些函数可能会无限递归直到超过 Go 运行时堆栈限制。这会导致堆栈溢出错误从而造成主机应用程序崩溃。虽然可遭利用的漏洞取决于攻击者是否能够影响或向评估环境注入循环或病态的深层数据但此行为代表一种拒绝服务 (DoS) 风险并影响库的整体稳定性。进程可能意外终止，而不是返回可恢复的评估错误。在受影响的版本中对在不受信任或验证不充分的数据结构上调用特定内置函数的表达式求值会因堆栈耗尽而导致进程级崩溃。在 Expr 用于针对外部提供或动态构建的环境求值表达式的场景中此问题最为相关。可将循环引用直接或间接引入数组、映射或结构中也没有任何应用程序级别的保障措施可以防止深度嵌套的输入数据。在具有受控非循环数据的典型使用案例中，此问题可能不明显。然而当存在时产生的错误可被用于可靠地使应用程序崩溃从而构成拒绝服务。此问题已在 Expr 的 v1.17.7 版本中修复。该修补程序为受影响的内置函数引入了最大递归深度限制。
当超过此限制时评估将正常中止并返回描述性错误而不是错误。此外用户可通过 builtin.MaxDepth 自定义最大深度从而允许具有合法深度结构的应用程序以受控的方式提高限制。强烈建议用户升级到带有补丁的版本其中包含递归防护和综合测试覆盖范围可防止回归。建议无法立即升级的用户可采取某些缓解措施。确保评估环境中不包含循环引用、在将外部提供的数据结构传递到 Expr 之前对其进行验证或审查和/或通过错误恢复来封装表达式评估以防止整个进程崩溃（作为最后手段的防御措施）。这些变通方案可降低风险但不能完全消除在缺少修补程序的情况下出现的问题。 (CVE-2025-68156)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。