Amazon Linux 2023：javapackages-bootstrap (ALAS2023-2026-1449)

high Nessus 插件 ID 301343

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，它受到 ALAS2023-2026-1449 公告中提及的一个漏洞影响。

AssertJ 为 Java 和 Java 虚拟机 (JVM) 提供 Fluent 测试断言。开始从 1.4.0 版到低于 3.27.7版的版本“org.assertj.core.util.xml.XmlStringPrettyFormatter”中存在一个 XML 外部实体 (XXE) 漏洞“toXmlDocument(String)”方法使用默认值初始化“DocumentBuilderFactory”设置，而不禁用 DTD 或外部实体。此格式化程序由“CharSequence”值的“isXmlEqualTo(CharSequence)”断言使用。仅当应用程序使用来自“org.assertj.core.api.AbstractCharSequenceAssert”的“isXmlEqualTo(CharSequence)”或来自“org.assertj.core.util.xml”的“xmlPrettyFormat(String)”的不可信 XML 输入时应用程序才容易受到影响。 XmlStringPrettyFormatter。如果这些方法的语气处理不受信任的 XML 输入则攻击者无法通过 `file://` URI例如 `/etc/passwd`、应用程序配置文件读取任意本地文件通过 HTTP/HTTPS URI 执行服务器端请求伪造 (SSRF) 和/或通过 Billion Laughs 实体扩展攻击造成拒绝服务。在 3.18.0 版本中已弃用“isXmlEqualTo(CharSequence)”以支持 XMLUnit此项将在 4.0版本中删除。受影响版本的用户应按优先顺序执行以下操作: 用 XMLUnit 替换“isXmlEqualTo(CharSequence)”升级到版本 3.27.7或是避免使用“isXmlEqualTo(CharSequence)”或“XmlStringPrettyFormatter”处理不受信任的输入。
“XmlStringPrettyFormatter”一向被视为“isXmlEqualTo(CharSequence)”的实用工具而非 AssertJ 用户的功能因此在版本 3.27.7 中已弃用并在版本 4.0中无替换删除。 (CVE-2026-24400)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。