Amazon Linux 2023：golist (ALAS2023-2023-046)

high Nessus 插件 ID 173138

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，它受到公告 ALAS2023-2023-046 中提及的多个漏洞影响。

- 在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

- Go 1.17.12 和 Go 1.18.4 之前版本中，go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

- 在 v3.8.0 之前的 GitHub 存储库 emicklei/go-restful 中，通过用户控制的密钥绕过授权。
(CVE-2022-1996)

- 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允许通过大量 PEM 数据造成解码堆栈溢出。(CVE-2022-24675)

- 0.0 之前的 golang.org/x/crypto/ssh 程序包。Go 的 0-20220314234659-1baeb1ce4c0b 允许攻击者在某些涉及 AddHostKey 的情况下使服务器崩溃。(CVE-2022-27191)

- Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/xml 中的 Decoder.Skip 中不受控制的递归允许攻击者通过深度嵌套的 XML 文档引起堆栈耗尽，从而造成错误。(CVE-2022-28131)

- 在 Go 1.17.9 之前版本以及 1.18.x 1.18.1 之前版本中，crypto/elliptic 的通用 P-256 特征允许通过长标量输入造成错误。(CVE-2022-28327)

- Reader.Read 未对文件标头的最大大小设置限制。恶意构建的存档可导致 Read 分配不受限制的内存量，从而可能导致资源耗尽或错误。
修复后，Reader.Read 将标头块的最大大小限制为 1 MiB。(CVE-2022-2879)

- Go 在 1.17.10 之前的版本和在 1.18.2 之前的 1.18.x 版本中权限分配不正确。当使用非零标记参数调用时，Faccessat 函数可能错误地报告文件可访问。
(CVE-2022-29526)

- Go 1.17.11 和 Go 1.18.3 之前的版本中，crypto/tls 中会话票证中 ticket_age_add 的非随机值会让攻击者能够观察 TLS 握手，以在会话恢复期间通过比较票证使用时间来关联连续的连接。(CVE-2022-30629)

- Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
(CVE-2022-30630)

- Go 1.17.12 和 Go 1.18.4 之前版本中，compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档，由于堆栈耗尽而造成错误。(CVE-2022-30631)

- Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
(CVE-2022-30632)

- Go 1.17.12和 Go 1.18.4 之前的版本中，encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

- Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
(CVE-2022-30635)

- Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

- 从不受信任的来源编译正则表达式的程序容易受到内存耗尽或拒绝服务的影响。解析后的 regexp 表示与输入的大小成线性关系，但在某些情况下，常数因子可高达 40,000，使得相对较小的 regexp 消耗大量内存。修复后，每个被解析的 regexp 被限制为 256 MB 内存占用。正则表达式的表示会使用比拒绝的表达式更多的空间。正则表达式的正常使用不受影响。 (CVE-2022-41715)

- 由于未审查 NUL 值，攻击者可能会在 Windows 上恶意设置环境变量。
在 syscall.StartProcess 和 os/exec.Cmd 中，未正确检查包含 NUL 值的无效环境变量值。恶意的环境变量值可利用此行为为不同的环境变量设置值。例如，环境变量字符串 A=B\x00C=D 设置变量 A=B 和 C=D。 (CVE-2022-41716)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。