Amazon Linux 2 : golang (ALAS-2022-1811)

critical Nessus プラグイン ID 163229

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている golang のバージョンは 1.16.15-1 より前のものです。したがって、ALAS2-2022-1811 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

golangに無限ループの脆弱性が見つかりました。アプリケーションが「xml.NewTokenDecoder」で初期化するカスタムトークンパーサーを定義する場合、解析ループが戻らない可能性があります。攻撃者が、内部に「EOF」を含む XML 要素を含む悪意のある XML ドキュメントを作成し、解析アプリケーションを無限ループにさせてサービス拒否(DoS)を引き起こす可能性があります。 (CVE-2021-27918)

Go 1.16.x before 1.16.1 の archive/zip では、ファイル名の先頭に ../ が発生する ZIP アーカイブに対して Reader.Open API の使用を試みる際に、攻撃者がサービス拒否(パニック)を引き起こす可能性があります。 (CVE-2021-27919)

Go に欠陥が見つかりました。net パッケージの LookupCNAME、LookupSRV、LookupMX、LookupNS、LookupAddr の関数とリゾルバータイプのメソッドが、DNS から取得された任意の値を返し、予期しないコンテンツのインジェクションを可能にする可能性があります。この脆弱性による最大の脅威は、整合性です。
(CVE-2021-33195)

Goに欠陥が見つかりました。意図されていないプロキシまたは仲介として動作し、最初のヘッダーが空の場合にReverseProxyが接続ヘッダーを転送します。この欠陥により、攻撃者が任意のヘッダーをドロップする可能性があります。この脆弱性からの最大の脅威は、整合性です。(CVE-2021-33197)

Goに欠陥が見つかりました。過剰なメモリを割り当てようとします。この問題により、非常に大きな指数のある入力が渡された場合に、パニックまたは回復不能な致命的なエラーが発生する可能性があります。この脆弱性が最大の脅威となるのは、システムの可用性です。(CVE-2021-33198)

競合状態の欠陥が Go に見つかりました。ハンドラーパニック後に着信リクエスト本体が閉じられず、その結果、ReverseProxy のクラッシュを引き起こす可能性があります。この脆弱性による最大の脅威は可用性に対するものです。 (CVE-2021-36221)

golang に検証の欠陥が見つかりました。GOARCH=wasm GOOS=js を使用して構築された WASM モジュールから関数を呼び出す場合、非常に大きな引数を渡すと、モジュールの一部が引数からのデータで上書きされる可能性があります。この脆弱性からの最大の脅威は、整合性です。(CVE-2021-38297)

Go 標準ライブラリの archive/zip に脆弱性が見つかりました。Go で書かれたアプリケーションは、無効な形式の ZIP ファイルを解析する際に、パニックになったり、システムメモリを使い果たす可能性があります。細工された ZIP ファイルを archive/zip を使用して Go アプリケーションに送信し、そのファイルを処理できる攻撃者が、メモリ枯渇またはパニックによりサービス拒否を引き起こす可能性があります。この特定の欠陥は、以前の欠陥の不完全な修正です。
(CVE-2021-39293)

Go 標準ライブラリの debug/macho に領域外読み取りの脆弱性が見つかりました。debug/macho 標準ライブラリ (stdlib) を使用し、不正な形式のバイナリが Open または OpenFat を使用して解析される場合、golang がスライス (配列) 外の読み取りを試行する原因となり、ImportedSymbols を呼び出すときにパニックが発生する可能性があります。
攻撃者がこの脆弱性を利用してファイルを細工し、このライブラリを使用しているアプリケーションをクラッシュさせ、サービス拒否を引き起こす可能性があります。(CVE-2021-41771)

Go 標準ライブラリの archive/zip に脆弱性が見つかりました。Go で書かれたアプリケーションでは、完全に無効な名前または空のファイル名引数を含む細工された ZIP アーカイブを解析する際に Reader.Open (Go 1.16 で導入された io/fs.FS を実装している API) がパニックになる可能性があります。(CVE-2021-41772)

canonicalHeader() 関数の golang の net/http ライブラリに、制御されないリソース消費の欠陥があります。net/http の http2 機能にリンクされたアプリケーションに特別に細工されたリクエストを送信する攻撃者が、過剰なリソース消費を引き起こし、サービス拒否やシステムのパフォーマンスやリソースへの影響につながる可能性があります。(CVE-2021-44716)

golang の syscall.ForkExec() インターフェースに欠陥があります。最初にプロセスのファイル記述子を使い果たすことに成功し、次に syscall.ForkExec() を繰り返し呼び出させることができる攻撃者が、syscall.ForkExec() にリンクされてそれを使用するプログラムで、制御されない方法によりデータ整合性および / または機密性を侵害する可能性があります。(CVE-2021-44717)

1.16.14 より前の Go および 1.17.x より前の 1.17.7 の Go の math/big の Rat.SetString に、制御されないメモリ消費につながる可能性のあるオーバーフローがあります。 (CVE-2022-23772)

より前の Go の cmd/go と [ 1.16.14 より前の 1.17.71.17.x は、バージョンタグであると誤って表示されるブランチ名を誤って解釈する可能性があります。これにより、アクターがブランチは作成できるが、タグは作成できないと想定されている場合、不適切なアクセスコントロールが発生する可能性があります。 (CVE-2022-23773)

より前の 1.16.14 および 1.17.x より前の 1.17.7 の Go の crypto/elliptic における Curve.IsOnCurve は、有効なフィールド要素ではない big.Int 値のある状況で、誤って true を返す可能性があります。 (CVE-2022-23806)

Golangのregexpモジュールにスタックオーバーフローの欠陥が見つかりました。regexpを使用するアプリケーションが、十分なネストの深さのある信頼できないソースから非常に長いまたは任意に長い正規表現を受け入れると、ランタイムがクラッシュする可能性があります。この脆弱性を悪用するには、攻撃者は深いネスト化された大きな正規表現をアプリケーションに送信する必要があります。この欠陥を誘発すると、ランタイムのクラッシュを引き起こし、サービス拒否を引き起こす可能性があります。 (CVE-2022-24921)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「yum update golang」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/cve/html/CVE-2021-27918.html

https://alas.aws.amazon.com/cve/html/CVE-2021-27919.html

https://alas.aws.amazon.com/cve/html/CVE-2021-33195.html

https://alas.aws.amazon.com/cve/html/CVE-2021-33197.html

https://alas.aws.amazon.com/cve/html/CVE-2021-33198.html

https://alas.aws.amazon.com/cve/html/CVE-2021-36221.html

https://alas.aws.amazon.com/cve/html/CVE-2021-38297.html

https://alas.aws.amazon.com/cve/html/CVE-2021-39293.html

https://alas.aws.amazon.com/cve/html/CVE-2021-41771.html

https://alas.aws.amazon.com/cve/html/CVE-2021-41772.html

https://alas.aws.amazon.com/cve/html/CVE-2021-44716.html

https://alas.aws.amazon.com/cve/html/CVE-2021-44717.html

https://alas.aws.amazon.com/cve/html/CVE-2022-23772.html

https://alas.aws.amazon.com/cve/html/CVE-2022-23773.html

https://alas.aws.amazon.com/cve/html/CVE-2022-23806.html

https://alas.aws.amazon.com/cve/html/CVE-2022-24921.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/AL2/ALAS-2022-1811.html

プラグインの詳細

深刻度: Critical

ID: 163229

ファイル名: al2_ALAS-2022-1811.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2022/7/15

更新日: 2025/4/11

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-38297

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-src, p-cpe:/a:amazon:linux:golang-race, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/7/6

脆弱性公開日: 2021/10/18

参照情報

CVE: CVE-2021-27918, CVE-2021-27919, CVE-2021-33195, CVE-2021-33197, CVE-2021-33198, CVE-2021-36221, CVE-2021-38297, CVE-2021-39293, CVE-2021-41771, CVE-2021-41772, CVE-2021-44716, CVE-2021-44717, CVE-2022-23772, CVE-2022-23773, CVE-2022-23806, CVE-2022-24921

IAVB: 2021-B-0069-S, 2022-B-0008-S, 2022-B-0011-S