Amazon Linux 2：runc、--advisory ALAS2ECS-2026-119 (ALASECS-2026-119)

high Nessus 插件 ID 316940

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 runc 版本低于 1.3.4-5。因此，该软件受到 ALAS2ECS-2026-119 公告中提及的多个漏洞影响。

将 LookupCNAME 与 cgo DNS 解析器一起使用时，非常长的 CNAME 响应可触发 C 内存双重释放和崩溃。（CVE-2026-33811）

在处理 HTTP/2 SETTINGS 帧时，如果传输收到值为 0 的SETTINGS_MAX_FRAME_SIZE，将会进入写入 CONTINUATION 帧的无限循环。（CVE-2026-33814）

到达 ParseAddress、ParseAddressList 和 ParseDate 的精心构建的输入能够触发过度 CPU 耗尽和内存分配。（CVE-2026-39820）

CVE-2026-27142修复了标签属性<content>内部<meta>的 URL 未正确转义的漏洞。如果 URL 内容在属性内部的 <content> “=”符文周围插入 ASCII 空白，转义程序将无法以类似方式对其进行转义，从而导致 XSS。（CVE-2026-39823）

ReverseProxy 可转发包含 Rewrite 函数不可见的参数的查询。与 Rewrite 函数或解析查询参数的 Director 函数一起使用时，ReverseProxy 会审查转发的请求以删除未通过 url 解析的查询参数。ParseQuery。ReverseProxy 未考虑 ParseQuery 对查询参数总数（由 GODEBUG=urlmaxqueryparams=N 控制）的限制。这可允许 ReverseProxy 转发包含 Rewrite 函数不可见的查询参数的请求。例如，查询 a1=x&a2=x&...&a10000=x&hidden=y 可转发参数 hidden=y，同时从代理的 Rewrite 函数中隐藏该参数。（CVE-2026-39825）

如果受信任的模板作者要写入 <script> 包含空“type”属性或具有 ASCII 空格的“type”属性的标记，则模板的执行将不正确转义传递到该区块的任何 <script> 数据。（CVE-2026-39826）

根据 RFC 5322 解析电子邮件地址时，病态的输入可通过 consumePhrase 造成 DoS。（CVE-2026-42499）

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。