Amazon Linux 2023：runfinch-finch (ALAS2023-2026-1507)

medium Nessus 插件 ID 304588

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该软件受到 ALAS2023-2026-1507 公告中提及的多个漏洞影响。

Fulcio 是一个证书颁发机构，用于为 OpenID Connect (OIDC) 身份颁发代码签名证书。在在 1.8.5版本中Fulcio 的 metaRegex() 函数使用未锚定的 regex允许攻击者绕过 MetaIssuer URL 验证并触发前往任意内部服务的 SSRF。由于 SSRF 只能触发 GET 请求因此该请求无法改变状态。来自 GET 请求的响应不会返回给调用程序因此无法发生数据外泄。恶意执行者可尝试通过 Blind SSRF 探测内部网络。此漏洞已在 1.8.5 中修复。(CVE-2026-22772)

sigstore 框架是在 sigstore 服务和客户端之间共享的通用 go 库。在 1.10.3 及更低版本中旧 TUF 客户端 (pkg/tuf/client.go) 支持将目标文件缓存到磁盘。通过加入缓存基本目录与源自已签名目标元数据的目标名称进而构建文件系统路径但是，它不会验证结果路径是否保留在缓存基本目录中。恶意 TUF 存储库可触发任意文件覆盖仅限调用进程具有的权限。请注意这应仅影响直接在 sigstore/sigstore 中使用 TUF 客户端或使用较旧版本 Cosign 的客户端。公共 Sigstore 部署用户不受影响因为 TUF 元数据由一部分受信任的协作者进行验证。此问题已在 1.10.4 版本中修复。作为变通方案用户可通过在环境中设置 SIGSTORE_NO_CACHE=true 来禁用旧客户端的磁盘缓存进而迁移到 https://github.com/sigstore/sigstore-go/tree/main/pkg/tuf或升级到最新 sigstore/sigstore 版本。 (CVE-2026-24137)

go-tuf 是 The Update Framework (TUF) 的 Go 实现。选择本地元数据缓存目录时go-tuf 的 TAP 4 Multirepo 客户端使用映射文件存储库名称字符串 (`repoName`) 作为文件系统路径组件。从版本 2.0.0 到低于 2.4.1的版本如果应用程序接受来自不受信任来源的映射文件攻击者可提供包含遍历的 `repoName`例如 `../escaped-repo`并造成 go- tuf在运行进程的文件系统权限内预期的“LocalMetadataDir”缓存库之外创建目录并写入根元数据文件。版本 2.4.1 包含修补程序。 (CVE-2026-24686)

url.Parse 未充分验证主机/颁发机构组件接受了一些无效的 URL。
(CVE-2026-25679)

在 Unix 平台上使用 File.ReadDir 或 File.Readdir 列出目录内容时返回的 FileInfo 可能引用打开文件的 Root 之外的文件。此转义的影响仅限于从文件系统上的任意位置读取由 lstat 提供的元数据不允许在根之外读取或写入文件。 (CVE-2026-27139)

将 URL 插入 HTML 元标记的内容属性的操作未转义。如果 meta 标签也具有值为 refresh 的 http-equiv 属性则可允许 XSS。添加了新的 GODEBUG 设置 htmlmetacontenturlescape可用于在元内容属性中通过设置 htmlmetacontenturlescape=0 遵循 url= 的操作中禁用转义 URL。 (CVE-2026-27142)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。