亚马逊Linux 2023：perl-Net-CIDR-LiteALAS2023-2026-1624（）

high Nessus 插件 ID 311311

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1624 公告中提及的多个漏洞影响。

之前 0.23 Perl 的 Net：：CIDR：：Lite 版本不验证 IPv6 组数，这可能允许 IP ACL 绕过。

_pack_ipv6（）不检查未压缩的 IPv6 地址（不含：:) 是否恰好有 8 个十六进制组。
接受的输入如abcd、1：2：3：或1：2：3：4：5：6：7，但会产生错误长度的打包值（3、7或15字节，而非17字节）。

打包值内部用于掩码和比较操作。find（）和 bin_find（）对这些值使用 Perl 字符串比较（lt/gt），不同长度字符串的比较会得到错误的结果。
这可能导致find（）错误地将地址报告为区内或范围外。

示例：

my $cidr = Net：：CIDR：：Lite->new（：：/8）;$cidr->find（1：2：3）;# 输入无效，错误返回真

这与本模块之前修复的（IPv4前置零）相同的输入验证问题 CVE-2021-47154 类别相同。

另 CVE-2026-40199见，同一函数中影响IPv4映射IPv6地址的相关问题。
(CVE-2026-40198)

Net：：CIDR：：Lite 版本 0.23 之前的 Perl 处理错误的 IPv4 映射 IPv6 地址，可能导致 IP ACL 绕过。

_pack_ipv6（）在构建IPv4映射地址的打包表示时，包含了_pack_ipv4（）中的哨兵字节，如：：ffff：192.168.1.1。这会产生18字节的值，而不是17字节，导致IPv4部分地址不对齐。

错误长度会导致掩膜操作错误（位和截断到较短操作数）以及find（） / bin_find（）中使用Perl字符串比较（lt/gt）的操作结果。这可能导致find（）地址匹配错误或错过。

示例：

my $cidr = Net：：CIDR：：Lite->new（：：ffff：192.168.1.0/120）;$cidr->find（：：ffff：192.168.2.0）;# 错误地返回真

该程序由有效的RFC 4291 IPv4映射地址（：：ffff：x.x.x.x.x）触发。

另 CVE-2026-40198见，同一函数中一个影响IPv6地址错误的问题。
(CVE-2026-40199)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。