Amazon Linux 2：runfinch-finch，--advisory ALAS2DOCKER-2026-117 (ALASDOCKER-2026-117)

high Nessus 插件 ID 314580

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 runfinch-finch 版本低于 1.17.0-1。因此，该软件受到 ALAS2DOCKER-2026-117 公告中提及的多个漏洞影响。

在预期输入的响应时接收SSH_AGENT_SUCCESS的 SSH 客户端将发生错误并造成客户端进程提前终止。（CVE-2025-47913）

未正确检查循环中归纳变量上的演算是否存在 Go 编译器 (cmd/complie) 下溢或溢出。因此，编译器会允许在运行时发生无效索引访问，使用受影响的 Go 版本编译的程序可能会出现内存损坏问题。(CVE-2026-27143)

Go 编译器 (cmd/compile) 对无操作接口类型转换处理存在错误，导致无法正确判定无重叠内存拷贝场景，使用受影响版本编译的程序，运行时可能发生内存损坏。 (CVE-2026-27144)

在链构建期间，当 VerifyOptions.Intermediates 中传递大量中间证书时，不会正确限制已完成的工作量，这可导致拒绝服务。这会影响 crypto/x509 的直接用户和 crypto/tls 的用户。 (CVE-2026-32280)

在验证使用证书策略的证书链时，如果证书链中的证书包含大量策略映射，验证过程会出现异常低效的问题，可能导致拒绝服务攻击。这只会影响对本应受信任的证书链的验证，该证书链由根 CA 在 VerifyOptions.Roots CertPool 或系统证书池中颁发。 (CVE-2026-32281)

在 Linux 系统下，如果在执行 Root.Chmod 操作的过程中，操作目标被替换为符号链接，Chmod 会作用于该符号链接指向的目标文件，即便该目标文件位于根目录范围之外，也会发生此问题。
(CVE-2026-32282)

如果 TLS 连接的一端在单个记录中发送握手后多条密钥更新消息，连接可能会死锁，从而导致不受控制的资源消耗。这可导致拒绝服务。这仅影响 TLS 1.3。 (CVE-2026-32283)

tar.Reader 在读取包含大量以旧 GNU 稀疏映射格式编码的稀疏区域的恶意构建存档时，可分配不受限制的内存量。 (CVE-2026-32288)

在处理 JavaScript 模板字符串时，上下文无法在模板分支之间正确传递，导致内容可能出现错误转义。这可造成 JS 模板文本中的操作不正确地转义，从而导致 XSS 漏洞。 (CVE-2026-32289)

BuildKit 是一种工具包，用于以高效、富有表现力和可重复的方式将源代码转换为构建工件。在 0.28.1 之前的版本中，对 Git URL 片段子目录组件的不充分验证可能允许攻击者访问签出的 Git 存储库根以外的文件。攻击者仅可访问同一已挂载文件系统中的文件。已在版本 v0.28.1 中修复此问题。此问题只会影响使用具有 subpath 组件的 Git URL 版本。变通方案是避免通过不受信任的来源构建 Dockerfile，或使用来自不受信任 Git 存储库（其中子目录组件可能指向符号链接）的子目录组件。(CVE-2026-33748)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。