Amazon Linux 2：runfinch-finch，--advisory ALAS2DOCKER-2026-097 (ALASDOCKER-2026-097)

critical Nessus 插件 ID 300150

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 runfinch-finch 版本低于 1.14.1-1。因此，该软件受到 ALAS2DOCKER-2026-097 公告中提及的多个漏洞影响。

net/http：Request.ParseForm 中的内存耗尽漏洞 (CVE-2025-61726)

archive/zip：解析任意 ZIP 存档时可能触发拒绝服务漏洞 (CVE-2025-61728)

crypto/tls：握手消息可能在错误的加密级别被处理 (CVE-2025-61730)

crypto/tls：Config.Clone 会复制自动生成的会话票证密钥，但会话恢复过程中未考虑完整证书链是否到期 (CVE-2025-68121)

Cosign 可为容器和二进制文件提供代码签名和透明性保障。在版本 2.6.2 和 3.0.4 之前，即使嵌入的 Rekor 条目未引用构件的摘要、签名或公钥，攻击者也可构造恶意 Cosign 捆绑包来使构件成功通过验证。验证 Rekor 条目时，Cosign 不仅会验证 Rekor 条目签名，还会将构件的摘要、用户公钥（来自 Fulcio 证书或由用户提供）及构件签名与 Rekor 条目内容逐一比对。如果缺少上述比对环节，Cosign 会将 Rekor 返回的任何响应都视为有效。一旦恶意攻击者窃取用户身份凭证或签名密钥，即可通过加入任意 Rekor 条目来构造一个有效的 Cosign 捆绑包，导致用户无法审计对应的签名事件。
已在版本 2.6.2 和 3.0.4 中修补此问题。(CVE-2026-22703)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。