Amazon Linux 2023：amazon-cloudwatch-agent (ALAS2023-2026-1747)

critical Nessus 插件 ID 316992

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1747 公告中提及的多个漏洞影响。

未正确检查循环中归纳变量上的演算是否存在 Go 编译器 (cmd/complie) 下溢或溢出。因此，编译器会允许在运行时发生无效索引访问，使用受影响的 Go 版本编译的程序可能会出现内存损坏问题。(CVE-2026-27143)

Go 编译器 (cmd/compile) 对无操作接口类型转换处理存在错误，导致无法正确判定无重叠内存拷贝场景，使用受影响版本编译的程序，运行时可能发生内存损坏。 (CVE-2026-27144)

在链构建期间，当 VerifyOptions.Intermediates 中传递大量中间证书时，不会正确限制已完成的工作量，这可导致拒绝服务。这会影响 crypto/x509 的直接用户和 crypto/tls 的用户。 (CVE-2026-32280)

在验证使用证书策略的证书链时，如果证书链中的证书包含大量策略映射，验证过程会出现异常低效的问题，可能导致拒绝服务攻击。这只会影响对本应受信任的证书链的验证，该证书链由根 CA 在 VerifyOptions.Roots CertPool 或系统证书池中颁发。 (CVE-2026-32281)

在 Linux 系统下，如果在执行 Root.Chmod 操作的过程中，操作目标被替换为符号链接，Chmod 会作用于该符号链接指向的目标文件，即便该目标文件位于根目录范围之外，也会发生此问题。
(CVE-2026-32282)

如果 TLS 连接的一端在单个记录中发送握手后多条密钥更新消息，连接可能会死锁，从而导致不受控制的资源消耗。这可导致拒绝服务。这仅影响 TLS 1.3。 (CVE-2026-32283)

评估结果为 true 的布尔 XPath 表达式可导致 logicalQuery.Select 进入无限循环，从而造成 CPU 使用率达到 100%。这可由 1=1 或 true() 等顶级选择器触发。
(CVE-2026-32287)

tar.Reader 在读取包含大量以旧 GNU 稀疏映射格式编码的稀疏区域的恶意构建存档时，可分配不受限制的内存量。 (CVE-2026-32288)

在处理 JavaScript 模板字符串时，上下文无法在模板分支之间正确传递，导致内容可能出现错误转义。这可造成 JS 模板文本中的操作不正确地转义，从而导致 XSS 漏洞。 (CVE-2026-32289)

将 LookupCNAME 与 cgo DNS 解析器一起使用时，超长的 CNAME 响应可触发 C 内存双重释放，并导致崩溃。(CVE-2026-33811)

在处理 HTTP/2 SETTINGS 帧时，如果传输收到值为 0 的 SETTINGS_MAX_FRAME_SIZE，将会进入写入 CONTINUATION 帧的无限循环。(CVE-2026-33814)

到达 ParseAddress、ParseAddressList 和 ParseDate 的巧妙构建的输入能够触发过度 CPU 耗尽和内存分配。(CVE-2026-39820)

CVE-2026-27142 修复了 <meta> 标签 <content> 属性内部 URL 未正确转义的漏洞。如果 URL 内容在 <content> 属性内部的“=”符文周围插入 ASCII 空白字符，转义程序将无法以类似方式对其进行转义，从而导致 XSS。(CVE-2026-39823)

ReverseProxy 可转发包含 Rewrite 函数不可见的参数的查询。与 Rewrite 函数或解析查询参数的 Director 函数一起使用时，ReverseProxy 会审查转发的请求以删除未经过 url.ParseQuery 解析的查询参数。ReverseProxy 未考虑 ParseQuery 对查询参数总数（由 GODEBUG=urlmaxqueryparams=N 控制）的限制。这可允许 ReverseProxy 转发包含 Rewrite 函数不可见的查询参数的请求。例如，查询 a1=x&a2=x&...&a10000=x&hidden=y 可转发参数 hidden=y，同时从代理的 Rewrite 函数中隐藏该参数。(CVE-2026-39825)

如果受信任的模板作者要写入包含空“type”属性或具有 ASCII 空白字符的“type”属性的 <script> 标记，则执行模板时将错误转义传递到 <script> 区块的任何数据。(CVE-2026-39826)

OpenTelemetry-Go 是 OpenTelemetry 的 Go 实现。在 1.43.0 之前，otlp HTTP 导出器 (traces/metrics/logs) 将完整 HTTP 响应正文读取到内存中没有大小上限的 bytes.Buffer 中。
当配置的收集器端点由攻击者控制（或网络攻击者可能与导出器连接进行隔离）时，可利用此漏洞造成内存耗尽。此漏洞已在 1.43.0 中修复。
(CVE-2026-39882)

Apache Thrift TFramedTransport Go 语言实现中的整数溢出或回绕漏洞

此问题影响 Apache Thrift 版本：0.23.0 之前的版本。

建议用户升级到修复了此问题的版本 0.23.0。(CVE-2026-41602)

根据 RFC 5322 解析电子邮件地址时，病态输入可通过 consumePhrase 造成 DoS。(CVE-2026-42499)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。