检测

Amazon Linux 2023:openssl、openssl-devel、openssl-fips-provider-latest (ALAS2023-2026-1522)

high Nessus 插件 ID 304598

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,它受到 ALAS2023-2026-1522 公告中提及的一个漏洞影响。

 问题摘要:OpenSSL TLS 1.3 服务器的密钥交换组配置包含使用“DEFAULT”关键词的默认密钥时,可能无法协商预期的首选密钥交换组。影响摘要:即使客户端和服务器均支持某个更优选群组,但如果该群组未包含在客户端的初始预测密钥共享范围中,客户端可能会使用优先级较低的密钥交换群组。这种情况有时会发生在新的混合后量子群组中。如果客户端选择推迟到服务器发出特别请求后再使用这些群组,就会发生此情况。如果 OpenSSL TLS 1.3 服务器的配置使用“DEFAULT”关键字将内置的默认群组列表内插到其自有配置中,可能会添加或删除特定元素,则实现缺陷会导致“DEFAULT”列表丢失其“元组”结构,并且所有服务器支持的群组都会被视为单一且足够安全的“元组”,即使更优选元组中的某个群组同时得到服务器与客户端的支持,服务器也不会发送 Hello 重试请求 (HRR)。因此,如果客户端的配置导致客户端初始共享密钥预测范围中仅包含“classical”组(例如“X25519”),则客户端和服务器可能无法协商出一个双方都支持的后量子密钥协议群组,例如“X25519MLKEM768”。
 OpenSSL 3.5 和更高版本均支持使用新语法,来在 TLS 服务器上选择最优选的 TLS 1.3 密钥协议群组。旧语法具有单一“扁平”群组列表,并将所有受支持的群组视为足够安全。如果客户端预测的任何密钥共享范围得到服务器的支持,服务器便会从中选择最优密钥共享范围,即使客户端支持但未包含在预测密钥共享列表中的其他群组更优选(如果包含)。新语法将各个群组分成具有大致相同安全级别的不同“元组”。在每个元组中,客户端预测的密钥共享范围中包含的最优群组已被选中,但如果客户端支持来自更优选元组中的群组,但未预测任何相应的密钥共享范围,则服务器将要求客户端使用最合双方意愿且受支持的群组来重试 ClientHello(通过发出 Hello 重试请求,简称 HRR)。当服务器的配置使用内置默认群组列表,或通过直接定义各种所需群组和群组“元组”来明确定义其自己的列表时,上述机制按预期方式工作。任何 OpenSSL FIPS 模块均不受此问题影响,有问题的代码位于 FIPS 边界之外。
 OpenSSL 3.6 至 3.5 容易受此问题影响。OpenSSL 3.6 用户应在发布 OpenSSL 3.6.2 后升级到该版本。OpenSSL 3.5 用户应在发布 OpenSSL 3.5.6 后升级到该版本。OpenSSL 3.4、3.3、3.0、1.0.2 和 1.1.1 不受此问题影响。(CVE-2026-2673)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update openssl --releasever 2023.10.20260330”或“dnf update --advisory ALAS2023-2026-1522 --releasever 2023.10.20260330”以更新系统。

另见

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1522.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-2673.html

插件详情

严重性: High

ID: 304598

文件名: al2023_ALAS2023-2026-1522.nasl

版本: 1.2

类型: Local

代理: unix

发布时间: 2026/4/1

最近更新时间: 2026/4/10

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2026-2673

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:openssl-debugsource, p-cpe:/a:amazon:linux:openssl-perl, p-cpe:/a:amazon:linux:openssl-fips-provider-latest-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-snapsafe-libs, p-cpe:/a:amazon:linux:openssl-libs-debuginfo, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-fips-provider-latest, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:openssl-libs

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2026/4/1

漏洞发布日期: 2026/3/13

参考资料信息

CVE: CVE-2026-2673

IAVA: 2026-A-0308