Amazon Linux 2023：docker (ALAS2023-2026-1615)

critical Nessus 插件 ID 311330

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1615 公告中提及的多个漏洞影响。

未正确检查循环中归纳变量上的演算是否存在 Go 编译器 (cmd/complie) 下溢或溢出。因此，编译器会允许在运行时发生无效索引访问，使用受影响的 Go 版本编译的程序可能会出现内存损坏问题。(CVE-2026-27143)

Go 编译器 (cmd/compile) 对无操作接口类型转换处理存在错误，导致无法正确判定无重叠内存拷贝场景，使用受影响版本编译的程序，运行时可能发生内存损坏。 (CVE-2026-27144)

在链构建期间，当 VerifyOptions.Intermediates 中传递大量中间证书时，不会正确限制已完成的工作量，这可导致拒绝服务。这会影响 crypto/x509 的直接用户和 crypto/tls 的用户。 (CVE-2026-32280)

在验证使用证书策略的证书链时，如果证书链中的证书包含大量策略映射，验证过程会出现异常低效的问题，可能导致拒绝服务攻击。这只会影响对本应受信任的证书链的验证，该证书链由根 CA 在 VerifyOptions.Roots CertPool 或系统证书池中颁发。 (CVE-2026-32281)

在 Linux 系统下，如果在执行 Root.Chmod 操作的过程中，操作目标被替换为符号链接，Chmod 会作用于该符号链接指向的目标文件，即便该目标文件位于根目录范围之外，也会发生此问题。
(CVE-2026-32282)

如果 TLS 连接的一端在单个记录中发送握手后多条密钥更新消息，连接可能会死锁，从而导致不受控制的资源消耗。这可导致拒绝服务。这仅影响 TLS 1.3。 (CVE-2026-32283)

tar.Reader 在读取包含大量以旧 GNU 稀疏映射格式编码的稀疏区域的恶意构建存档时，可分配不受限制的内存量。 (CVE-2026-32288)

在处理 JavaScript 模板字符串时，上下文无法在模板分支之间正确传递，导致内容可能出现错误转义。这可造成 JS 模板文本中的操作不正确地转义，从而导致 XSS 漏洞。 (CVE-2026-32289)

Moby 是一个开源容器框架。低于版本 29.3.1的版本中，已检测到一个允许攻击者绕过授权插件 (AuthZ) 的安全漏洞。已在版本 29.3.1 中修补此问题。(CVE-2026-34040)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。