Amazon Linux 2：cri-tools (ALAS-2024-2446)

medium Nessus 插件 ID 190040

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 cri-tools 版本低于 1.29.0-1。因此，它受到 ALAS2-2024-2446 公告中提及的多个漏洞影响。

- 恶意 HTTP 发送方可以使用区块扩展来导致读取请求或响应正文的接收方从网络中读取比正文中更多的字节。当处理程序无法读取请求的整个正文时，恶意 HTTP 客户端可以进一步利用此问题导致服务器自动读取大量数据（最多约 1GiB）。区块扩展是一项很少使用的 HTTP 功能，允许在使用分块编码方式发送的请求或响应正文中包含附加元数据。net/http 分块编码读取器会丢弃此元数据。发送方可以通过在传输的每个字节中插入大的元数据段来利用这一点。如果实体与编码字节的比率变得太小，区块读取器现在会出现错误。(CVE-2023-39326)

- 不在 HTML 命名空间中的文本节点被错误地按字面呈现，导致应该转义的文本不存在。这会导致 XSS 攻击。(CVE-2023-3978)

- OpenTelemetry-Go Contrib 由一系列适用于 OpenTelemetry-Go 的第三方程序包组成。现成可用的处理程序封装程序会添加基数未绑定的标签“http.user_agent”和“http.method”。如果向服务器发送许多恶意请求，可能会导致其内存耗尽。攻击者可轻松将请求的 HTTP 标头 User-Agent 或 HTTP 方法设置为随机且较长。库会在内部使用记录 HTTP“方法”和“User-Agent”的每个值的“httpconv.ServerRequest”。收到影响的条件为：程序必须使用“otelhttp.NewHandler”封装程序并且不在 CDN、LB、以前的中间件等级别上过滤任何未知的 HTTP 方法或用户代理。版本 0.44.0 版本修复了这个问题，当收集 http.request.method 属性的值时，将其限制为一组众所周知的值，并删除了其他高基数属性。作为变通方案，可以使用 otelhttp.WithFilter() 来解决此问题，但这需要仔细手动配置，以避免完全记录某些请求。为了方便和安全地使用该库，默认情况下应该使用标签“未知”来标记非标准的 HTTP 方法和用户代理，以显示这样的请求已经发生，但不增加基数。如果有人想继续使用当前行为，库 API 应允许启用它。(CVE-2023-45142)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。