Amazon Linux 2:ecs-service-connect-agent (ALASECS-2023-003)
critical Nessus 插件 ID 178286
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 ecs-service-connect-agent 版本低于 v1.25.4.0-1。因此,它受到 ALAS2ECS-2023-003 公告中提及的多个漏洞影响。- Envoy 是一款专为云原生应用程序设计的开源 Edge 和服务代理。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,客户端可能会绕过 JSON Web Token (JWT) 检查并伪造假的原始路径。“x-envoy-Original-path”标头应为内部标头,但当请求从不受信任的客户端发送时,Envoy 并未在开始处理时将其从请求中删除。伪造的标头随后将用于跟踪日志和 grpc 日志,以及用于 URL 以便使 “jwt_authn”检查是否使用了“jwt_authn”过滤器以及是否将 x-envoy-Original-path 标头用于任何其他上游用途。攻击者可能伪造受信任的“x-envoy-Original-path”标头。1.26.0、1.25.3、1.24.4、1.23.6 及 1.22.9 版本包含针对此问题的补丁。(CVE-2023-27487)
- Envoy 是一款专为云原生应用程序设计的开源 Edge 和服务代理。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,当
为“ext_authz”过滤器配置了“failure_mode_allow: true”,则可能会造成特权提升。对于用于记录和/或可见性的受影响组件,接收服务可能不会记录请求。当 Envoy 被配置为使用 ext_authz、ext_proc、tap、ratelimit 过滤器和 grpc 访问日志服务,并且收到包含非 UTF-8 数据的 http 标头时,Envoy 将生成无效的 protobuf 消息并将其发送到配置的服务。
接收服务通常会在解码 protobuf 消息时生成错误。对于配置了“failure_mode_allow: true”的 ext_authz,在此情况下将允许该请求。
对于其他服务,这可能导致其他无法预见的错误,例如缺少对请求的可见性。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,Envoy 默认将 gRPC 服务调用中发送的值审查为有效的 UTF-8,将无效的 UTF-8 数据替换为“!”字符。通过将运行时防护“envoy.reloadable_features.service_sanitize_non_utf8_strings”设置为 false,可临时恢复此行为变更。作为变通方案,用户可以为“ext_authz”设置“failure_mode_allow: false”。(CVE-2023-27488)
- Envoy 是一款专为云原生应用程序设计的开源 Edge 和服务代理。符合规范的 HTTP/1 服务应拒绝格式错误的请求行。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,不合规的 HTTP/1 服务可能导致格式错误的请求,从而导致绕过安全策略。此问题已在 1.26.0、1.25.3、1.24.4、1.23.6 及 1.22.9 版本中得到修补。(CVE-2023-27491)
- Envoy 是一款专为云原生应用程序设计的开源 Edge 和服务代理。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,Lua 过滤器容易受到拒绝服务攻击。攻击者可以向启用了 Lua 过滤器的路由发送大型请求正文并触发崩溃。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,如果已重置过滤器,Envoy 将不再调用 Lua 协同程序。对于 Lua 过滤器正在缓冲所有请求/响应的用户,可将使用缓冲区过滤器避免触发 Lua 过滤器中的本地回复作为变通方案。
(CVE-2023-27492)
- Envoy 是一款专为云原生应用程序设计的开源 Edge 和服务代理。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,Envoy 在生成请求标头时不会审查或转义请求属性。这可导致向上游服务发送标头值中的非法字符。在最坏的情况下,这可导致上游服务将原始请求解释为两个管道请求,从而可能绕过 Envoy 安全策略的意图。版本 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 包含一个修补程序。作为变通方案,您可禁用根据下游请求属性(例如下游证书属性)添加请求标头。(CVE-2023-27493)
- Envoy 是一款专为云原生应用程序设计的开源 Edge 和服务代理。在低于 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 的版本中,OAuth 过滤器假设任何看起来像 OAuth 重定向响应的响应中都存在“state”查询参数。使用等同于重定向路径的 URI 路径向其发送不包含“state”参数的请求将导致 Envoy 进程异常终止。版本 1.26.0、1.25.3、1.24.4、1.23.6 和 1.22.9 包含一个修补程序。通过锁定 OAuth 流量、禁用过滤器或在流量到达 OAuth 过滤器之前对其进行过滤(例如通过 lua 脚本),也可缓解此问题。(CVE-2023-27496)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行 'yum update ecs-service-connect-agent' 以更新系统。另见
https://alas.aws.amazon.com/AL2/ALASECS-2023-003.html
https://alas.aws.amazon.com/cve/html/CVE-2023-27487.html
https://alas.aws.amazon.com/cve/html/CVE-2023-27488.html
https://alas.aws.amazon.com/cve/html/CVE-2023-27491.html
https://alas.aws.amazon.com/cve/html/CVE-2023-27492.html
https://alas.aws.amazon.com/cve/html/CVE-2023-27493.html
插件详情
严重性: Critical
ID: 178286
文件名: al2_ALASECS-2023-003.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2023/7/14
最近更新时间: 2023/9/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-27488
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:amazon:linux:ecs-service-connect-agent, p-cpe:/a:amazon:linux:ecs-service-connect-agent-debuginfo, cpe:/o:amazon:linux:2
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/4/13
漏洞发布日期: 2023/4/4
参考资料信息
CVE: CVE-2023-27487, CVE-2023-27488, CVE-2023-27491, CVE-2023-27492, CVE-2023-27493, CVE-2023-27496