Amazon Linux 2:runfinch-finch,--advisory ALAS2DOCKER-2026-106 (ALASDOCKER-2026-106)
critical Nessus 插件 ID 306285
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 runfinch-finch 版本低于 1.15.1-1。因此,它受到 ALAS2DOCKER-2026-106 公告中提及的一个漏洞影响。gRPC-Go 是 gRPC 的 Go 语言实现。 1.79.3 之前的版本中存在因 HTTP/2 `:path` 伪标头的错误输入验证导致的授权绕过。gRPC-Go 服务器的路由逻辑过于宽松会接受“:path”中省略强制前导斜线的请求(例如“Service/Method”而非“/Service/Method”)。尽管服务器成功将这些请求路由到正确的处理程序授权拦截器包括官方“grpc/authz”程序包会评估原始的非规范路径字符串。因此使用规范路径以“/”开头定义的拒绝规则无法匹配传入的请求从而允许请求在存在回退允许规则时绕过策略。这会影响使用基于路径的授权拦截器的 gRPC-Go 服务器例如“google.golang.org/grpc/authz”中的官方 RBAC 实现或依赖“info.FullMethod”或“grpc.Method(ctx) 的自定义拦截器” `; AND 的安全策略包含针对规范路径的特定拒绝规则,但默认允许其他请求(回退允许规则)。攻击者可利用此漏洞将带有畸形“:path”标头的原始 HTTP/2 帧直接发送到 gRPC 服务器。版本 1.79.3 中的补丁可确保“:path”不以前导斜线开头的任何请求立即因“codes.Unimplemented”错误而拒绝从而防止其通过非规范路径访问授权拦截器或处理程序string。虽然升级是最安全且推荐的路径但用户可以使用下列方法之一缓解此漏洞使用验证拦截器推荐的缓解措施基础设施层级规范化;和/或策略强化。 (CVE-2026-33186)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行 "yum update runfinch-finch" 或 "yum update --advisory ALAS2DOCKER-2026-106" 以更新系统。另见
https://alas.aws.amazon.com//AL2/ALAS2DOCKER-2026-106.html
插件详情
严重性: Critical
ID: 306285
文件名: al2_ALASDOCKER-2026-106.nasl
版本: 1.1
类型: Local
代理: unix
发布时间: 2026/4/14
最近更新时间: 2026/4/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: High
基本分数: 9.4
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 分数来源: CVE-2026-33186
CVSS v3
风险因素: Critical
基本分数: 9.1
时间分数: 8.2
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:runfinch-finch
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/4/14
漏洞发布日期: 2026/3/18
参考资料信息
CVE: CVE-2026-33186