Amazon Linux 2022:(ALAS2022-2022-193)

critical Nessus 插件 ID 166999

简介

远程 Amazon Linux 2022 主机缺少安全更新。

描述

因此,它受到 ALAS2022-2022-193 公告中提及的多个漏洞影响。

- 在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 客户端中接受某些无效的 Transfer-Encoding 标头后,如果与同样未能将标头正确拒绝为无效的中间服务器结合,则允许 HTTP 请求走私。(CVE-2022-1705)

- Go 1.17.12 和 Go 1.18.4 之前版本中,go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

- 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中,如果关闭操作被致命错误抢占,则 HTTP/2 连接可在关闭期间挂起,攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

- 在 1.17.12 之前的 Go 和 1.18.x 之前的 1.18.4中,encoding/xml 的 Decoder.Skip 中通过深度嵌套的 XML 文档可发生堆栈耗尽和错误。(CVE-2022-28131)

- Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径,由于堆栈耗尽而造成错误。
(CVE-2022-30630)

- Go 1.17.12 和 Go 1.18.4 之前版本中,compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档,由于堆栈耗尽而造成错误。(CVE-2022-30631)

- Go 1.17.12 和 Go 1.18.4 之前版本中,path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径,由于堆栈耗尽而造成错误。
(CVE-2022-30632)

- Go 1.17.12和 Go 1.18.4 之前的版本中,encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

- Go 1.17.12 和 Go 1.18.4 之前的版本中,encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息,由于堆栈耗尽而造成错误。
(CVE-2022-30635)

- Go 1.17.12 和 Go 1.18.4 之前的版本中,net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发,这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

- JoinPath 和 URL.JoinPath 不会删除附加到相对路径的 ../ path 元素。例如,尽管 JoinPath 文档指出已从结果中删除 ../ path 元素,JoinPath(https://go.dev, ../go) 仍会返回 URL https://go.dev/../go。(CVE-2022-32190)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update golang --releasever=2022.0.20221102”以更新系统。

另见

https://alas.aws.amazon.com/AL2022/ALAS-2022-193.html

https://alas.aws.amazon.com/cve/html/CVE-2022-1705.html

https://alas.aws.amazon.com/cve/html/CVE-2022-1962.html

https://alas.aws.amazon.com/cve/html/CVE-2022-27664.html

https://alas.aws.amazon.com/cve/html/CVE-2022-28131.html

https://alas.aws.amazon.com/cve/html/CVE-2022-30630.html

https://alas.aws.amazon.com/cve/html/CVE-2022-30631.html

https://alas.aws.amazon.com/cve/html/CVE-2022-30632.html

https://alas.aws.amazon.com/cve/html/CVE-2022-30633.html

https://alas.aws.amazon.com/cve/html/CVE-2022-30635.html

https://alas.aws.amazon.com/cve/html/CVE-2022-32148.html

https://alas.aws.amazon.com/cve/html/CVE-2022-32190.html

插件详情

严重性: Critical

ID: 166999

文件名: al2022_ALAS2022-2022-193.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2022/11/4

最近更新时间: 2022/12/7

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: AV:N/AC:L/Au:N/C:C/I:N/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2022-32190

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

CVSS 分数来源: CVE-2021-38297

漏洞信息

CPE: p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc, p-cpe:/a:amazon:linux:golang-race, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-src, p-cpe:/a:amazon:linux:golang-tests, cpe:/o:amazon:linux:2022

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2022/11/1

漏洞发布日期: 2022/7/13

参考资料信息

CVE: CVE-2021-33196, CVE-2021-38297, CVE-2021-41771, CVE-2021-41772, CVE-2021-44716, CVE-2021-44717, CVE-2022-1705, CVE-2022-1962, CVE-2022-1996, CVE-2022-24675, CVE-2022-27191, CVE-2022-27664, CVE-2022-28131, CVE-2022-28327, CVE-2022-29526, CVE-2022-30629, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32148, CVE-2022-32189, CVE-2022-32190

IAVB: 2022-B-0025-S