Amazon Linux 2023：yq （ALAS2023-2026-1582）

medium Nessus 插件 ID 306237

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1582 公告中提及的多个漏洞影响。

golang.org/x/net/html 中的 html.Parse 函数在处理特定输入时，存在解析二次方复杂性，此漏洞可能会在攻击者提供特别构建 HTML 内容时导致拒绝服务 (DoS)。
(CVE-2025-47911)

golang.org/x/net/html 中的 html.Parse 函数在处理特定输入时，存在无限解析循环，此漏洞可能会在攻击者提供特别构建 HTML 内容时导致拒绝服务 (DoS)。
(CVE-2025-58190)

crypto/tls：握手消息可能在错误的加密级别被处理 (CVE-2025-61730)

URL。Parse 未充分验证主机/颁发机构组件，并接受了一些无效的 URL。
(CVE-2026-25679)

在 Unix 平台上，当使用 File.ReadDir 或 File.Readdir 列出目录的内容时，返回的 FileInfo 可以引用打开该文件的根目录以外的文件。此逃逸的影响仅限于从文件系统的任意位置读取 lstat 提供的元数据，而不允许读取或写入根外部的文件。（CVE-2026-27139）

将 URL 插入 HTML 元标记的内容属性的操作不会转义。如果元标记还具有带有值 refresh 的 http-equiv 属性，这可允许 XSS。已添加新的 GODEBUG 设置 htmlmetacontenturlescape，该设置可用于通过设置 htmlmetacontenturlescape=0 在元内容属性中跟随 url= 的操作中禁用转义 URL。（CVE-2026-27142）

在链构建期间，当 VerifyOptions.Intermediates 中传递大量中间证书时，不会正确限制已完成的工作量，这可导致拒绝服务。这会影响 crypto/x509 的直接用户和 crypto/tls 的用户。 (CVE-2026-32280)

tar.Reader 在读取包含大量以旧 GNU 稀疏映射格式编码的稀疏区域的恶意构建存档时，可分配不受限制的内存量。 (CVE-2026-32288)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。