Amazon Linux 2:golang、--advisory ALAS2-2026-3313 (ALAS-2026-3313)
medium Nessus 插件 ID 316999
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 golang 版本低于 1.25.10-1。因此,该软件受到 ALAS2-2026-3313 公告中提及的多个漏洞影响。将 LookupCNAME 与 cgo DNS 解析器一起使用时,非常长的 CNAME 响应可触发 C 内存双重释放和崩溃。(CVE-2026-33811)
在处理 HTTP/2 SETTINGS 帧时,如果传输收到值为 0 的SETTINGS_MAX_FRAME_SIZE,将会进入写入 CONTINUATION 帧的无限循环。(CVE-2026-33814)
go tool pack 子命令(通常仅由编译器用作具有已知良好输入的内部工具)未审查输出文件名。使用 pack 子命令提取恶意存档文件可将文件写入文件系统上的任意位置。(CVE-2026-39817)
go bug 命令会写入系统临时目录(例如 /tmp)中有两个具有可预测名称的文件。具有临时目录访问权限的攻击者可在其中一个名称中创建符号链接,造成 go 错误覆盖符号链接的目标。(CVE-2026-39819)
到达 ParseAddress、ParseAddressList 和 ParseDate 的精心构建的输入能够触发过度 CPU 耗尽和内存分配。(CVE-2026-39820)
CVE-2026-27142修复了标签属性<content>内部<meta>的 URL 未正确转义的漏洞。如果 URL 内容在属性内部的 <content> “=”符文周围插入 ASCII 空白,转义程序将无法以类似方式对其进行转义,从而导致 XSS。(CVE-2026-39823)
ReverseProxy 可转发包含 Rewrite 函数不可见的参数的查询。与 Rewrite 函数或解析查询参数的 Director 函数一起使用时,ReverseProxy 会审查转发的请求以删除未通过 url 解析的查询参数。ParseQuery。ReverseProxy 未考虑 ParseQuery 对查询参数总数(由 GODEBUG=urlmaxqueryparams=N 控制)的限制。这可允许 ReverseProxy 转发包含 Rewrite 函数不可见的查询参数的请求。例如,查询 a1=x&a2=x&...&a10000=x&hidden=y 可转发参数 hidden=y,同时从代理的 Rewrite 函数中隐藏该参数。(CVE-2026-39825)
如果受信任的模板作者要写入 <script> 包含空“type”属性或具有 ASCII 空格的“type”属性的标记,则模板的执行将不正确转义传递到该区块的任何 <script> 数据。(CVE-2026-39826)
根据 RFC 5322 解析电子邮件地址时,病态的输入可通过 consumePhrase 造成 DoS。(CVE-2026-42499)
恶意模块代理可利用 go 命令的模块校验和验证中的缺陷绕过校验和数据库验证。此漏洞会影响使用不受信任模块代理 (GOMODPROXY) 或校验和数据库 (GOSUMDB) 的任何用户。恶意模块代理可提供 Go 工具链的修改版本。当选择的 Go 工具链版本与当前安装的工具链不同时(由于 GOTOOLCHAIN 环境变量,或带有工具链行的 go.work 或 go.mod),go 命令将下载并执行模块代理提供的工具链。恶意模块代理可绕过此下载工具链的校验和数据库验证。由于此漏洞影响工具链下载的安全性,将 GOTOOLCHAIN 设置为修复版本是不够的。您必须升级基础 Go 工具链。go 工具始终在执行工具链哈希之前对其进行验证,因此修复版本将拒绝执行工具链的任何缓存、修改后的版本。go 工具信任 go.sum 文件,其中包含当前模块依赖项的准确哈希。恶意代理若恶意代理恶意利用此漏洞为修改的模块提供服务,则会导致在 go.sum 中记录错误的哈希。配置了不受信任的 GOPROXY 的用户可确定其是否因运行 rm go.sum 而受到影响;去 mod tidy ;go mod verify,这将重新验证当前模块的所有依存关系。具体缺陷更详细地说明:go.sum 文件中未列出模块时,go 命令会查阅校验和数据库以验证下载的模块。它验证校验和数据库报告的模块哈希是否与下载的模块的哈希匹配。但是,如果校验和数据库返回不包含模块条目的成功响应,则 go 命令会错误地允许验证成功。模块代理可镜像或代理校验和数据库,在这种情况下,go 命令将不会直接连接到校验和数据库。校验和数据库报告的校验和经过加密签名,因此恶意代理无法更改模块报告的校验和。但是,返回空校验和响应或不相关模块的校验和响应的代理可造成 go 命令继续执行,就像下载的模块已经过验证一样。
(CVE-2026-42501)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update golang”或“yum update --advisory ALAS2-2026-3313”以更新系统。另见
https://alas.aws.amazon.com//AL2/ALAS2-2026-3313.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-33811.html
https://explore.alas.aws.amazon.com/CVE-2026-33814.html
https://explore.alas.aws.amazon.com/CVE-2026-39817.html
https://explore.alas.aws.amazon.com/CVE-2026-39819.html
https://explore.alas.aws.amazon.com/CVE-2026-39820.html
https://explore.alas.aws.amazon.com/CVE-2026-39823.html
https://explore.alas.aws.amazon.com/CVE-2026-39825.html
https://explore.alas.aws.amazon.com/CVE-2026-39826.html
插件详情
严重性: Medium
ID: 316999
文件名: al2_ALAS-2026-3313.nasl
版本: 1.1
类型: Local
代理: unix
发布时间: 2026/5/27
最近更新时间: 2026/5/27
支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Medium
基本分数: 4.6
时间分数: 3.4
矢量: CVSS2#AV:L/AC:L/Au:S/C:N/I:C/A:N
CVSS 分数来源: CVE-2026-39817
CVSS v3
风险因素: Medium
基本分数: 5.9
时间分数: 5.2
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-src, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2026/5/26
漏洞发布日期: 2026/5/7
参考资料信息
CVE: CVE-2026-33811, CVE-2026-33814, CVE-2026-39817, CVE-2026-39819, CVE-2026-39820, CVE-2026-39823, CVE-2026-39825, CVE-2026-39826, CVE-2026-42499, CVE-2026-42501
IAVB: 2026-B-0120