Amazon Linux 2023低于 (ALAS2023-2026-1567)

medium Nessus 插件 ID 306193

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1567 公告中提及的多个漏洞影响。

tar-rs 是用于 Rust 的 tar 存档读取/写入库。 0.4.44 及更低版本中包含条件逻辑其会在基本标头大小非零的情况下跳过 PAX 大小标头。作为 CVE-2025-62518的一部分对 astral-tokio-tar 项目进行了更改在与基本标头不同的情况下可以正确遵从 PAX 大小标头。这几乎与 astral-tokio-tar 问题相反。tar 解析器遵从文件大小的方式中的任何差异均可被用来创建由不同存档程序解包时以不同方式显示的存档。在此情况下tar-rs (Rust tar) 板条箱是检查标头大小时的异常值 - 其他 tar 解析器包括例如 Go archive/tar无条件使用 PAX 大小替代。这会影响使用 tar 板条箱来解析存档并预期与其他解析器拥有一致视图的任何内容。此问题已在 0.4.45 版本中修复。(CVE-2026-33055)

tar-rs 是用于 Rust 的 tar 存档读取/写入库。在 0.4.44 及更低版本中解包 tar 存档时tar 板条箱的 unpack_dir 函数使用 fs::metadata() 检查已存在的路径是否为目录。由于 fs::metadata() 遵循符号链接因此包含符号链接条目后跟同名目录条目的特制 tarball 会导致板条箱将符号链接目标视为有效的现有目录 -- 并随后对其应用 chmod。这允许攻击者修改提取根以外的任意目录的权限。此问题已在 0.4.45 版本中修复。(CVE-2026-33056)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。