Amazon Linux 2：docker (ALASDOCKER-2023-031)

critical Nessus 插件 ID 183448

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 docker 版本低于 20.10.25-1。因此，它受到公告 ALAS2DOCKER-2023-031 中提及的多个漏洞影响。

- 恶意构建的 HTTP/2 流可造成 HPACK 解码器过度消耗 CPU，这足以通过少量小请求造成拒绝服务。(CVE-2022-41723)

- 模板未正确将反引号 (`) 视为 Javascript 字符串分隔符，也未按预期对其进行转义。自 ES6 起，反引号可用于 JS 模板文本。如果模板的 Javascript 模板文本中包含 Go 模板操作，则此操作的内容可用于停用文本，进而将任意 Javascript 代码注入 Go 模板。ES6 模板文字相当复杂，且其本身可以执行字符串插入操作，因此决定简单地禁止在此类文字中使用 Go 模板操作（例如 var a = {{.}}），因为没有显然安全的方式支持此行为。此方法与 github.com/google/safehtml 相同。经修复后，Template.Parse 在遇到此类模板时会返回一个 ErrorCode 值为 12 的错误。此 ErrorCode 当前并未导出，但将在 Go 1.21 版本中导出。依赖之前行为的用户可以使用 GODEBUG 标记 jstmpllitinterp=1 重新启用它，但需要注意的是现在将对反引号进行转义。应谨慎使用此做法。(CVE-2023-24538)

- 并非所有有效的 JavaScript 空白字符都被视为空白。在 JavaScript 上下文中，在字符集 \t\n\f\r\u0020\u2028\u2029 外包含其他空白字符和操作的模板在执行期间可能未经正确审查。(CVE-2023-24540)

- 恶意 HTTP/2 客户端如快速创建请求并立即重置请求，可能会导致服务器资源消耗过多。虽然请求总数受到 http2.Server.MaxConcurrentStreams 设置的限制，但重置正在进行的请求允许攻击者在现有请求仍在执行时创建新请求。应用修复程序后，HTTP/2 服务器现在会将同时执行的处理程序 goroutine 的数量绑定到流并发限制 (MaxConcurrentStreams)。达到限制时到达的新请求（这只能在客户端重置目前正在进行的请求之后发生）将排入队列，直到处理程序退出。如果请求队列变得太大，服务器将终止连接。对于手动配置 HTTP/2 的用户，golang.org/x/net/http2 中也修复了此问题。默认的流并发限制为每个 HTTP/2 连接 250 个流（请求）。可以使用 golang.org/x/net/http2 包来调整该值。请参阅 Server.MaxConcurrentStreams 设置和 ConfigureServer 函数。(CVE-2023-39325)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。