Amazon Linux 2：ecs-service-connect-agent (ALASECS-2024-034)

high Nessus 插件 ID 191659

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 ecs-service-connect-agent 版本低于 v1.27.3.0-1。因此，它受到 ALAS2ECS-2024-034 公告中提及的多个漏洞影响。

- Envoy 是一款高性能 edge/middle/service 代理。如果相同间隔内发生某些超时，Envoy 将会崩溃。如果出现以下情况，则会发生崩溃：1. hedge_on_per_try_timeout 已启用，2. per_try_idle_timeout 已启用（仅可在配置中完成），3. per-try-timeout 已通过标头或配置启用，且其值等于 per_try_idle_timeout 的退避间隔或在退避间隔范围内。已在版本 1.29.1、1.28.1、1.27.3 和 1.26.7 中解决此问题。
建议所有用户都进行升级。目前尚无针对此漏洞的变通方案。(CVE-2024-23322)

- Envoy 是一款高性能 edge/middle/service 代理。已针对每个请求编译 regex 表达式，如果为多个路由配置了此类匹配程序，则可能导致高 CPU 使用率和请求延迟增加。已在版本 1.29.1、1.28.1、1.27.3 和 1.26.7 中解决此问题。建议所有用户都进行升级。目前尚无针对此漏洞的变通方案。(CVE-2024-23323)

- Envoy 是一款高性能 edge/middle/service 代理。下游连接可绕过外部认证。failure_mode_allow 设置为 true 时，下游客户端可将无效 gRPC 请求强制发送到 ext_authz，从而避开 ext_authz 检查。已在版本 1.29.1、1.28.1、1.27.3 和 1.26.7 中解决此问题。建议所有用户都进行升级。目前尚无针对此漏洞的变通方案。(CVE-2024-23324)

- Envoy 是一款高性能 edge/middle/service 代理。如果使用的地址类型不受操作系统支持，代理协议中的 Envoy 会崩溃。当收到客户端提供其 IPv6 地址的请求时，Envoy 在已禁用 IPv6 但已按照代理协议启用监听器配置的主机上容易崩溃。即使整个链均通过 IPv4 连接，客户端仍然可以向目标服务器提供其 IPv6 地址。已在版本 1.29.1、1.28.1、1.27.3 和 1.26.7 中解决此问题。建议所有用户都进行升级。目前尚无针对此漏洞的解决方案。
(CVE-2024-23325)

- Envoy 是一款高性能 edge/middle/service 代理。如果某个监听器和后续群集上都启用了 PPv2，Envoy 实例在尝试构建上游 PPv2 标头时将发生段错误。
如果下游请求包含 LOCAL 命令类型但不包含协议区块，则会发生这种情况。
已在版本 1.29.1、1.28.1、1.27.3 和 1.26.7 中解决此问题。建议所有用户都进行升级。目前尚无针对此漏洞的变通方案。(CVE-2024-23327)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。