Amazon Linux 2023 : golang、golang-bin、golang-misc (ALAS2023-2023-048)
critical Nessus プラグイン ID 173069
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2023-048 のアドバイザリに記載されている複数の脆弱性の影響を受けます。Go 標準ライブラリの archive/zip に脆弱性が見つかりました。Go で書かれたアプリケーションは、無効な形式の ZIP ファイルを解析する際に、パニックになったり、システムメモリを使い果たしたりする可能性があります。(CVE-2021-33196)
golang に検証の欠陥が見つかりました。GOARCH=wasm GOOS=js を使用して構築された WASM モジュールから関数を呼び出す場合、非常に大きな引数を渡すと、モジュールの一部が引数からのデータで上書きされる可能性があります。この脆弱性からの最大の脅威は、整合性です。(CVE-2021-38297)
Go 標準ライブラリの debug/macho に領域外読み取りの脆弱性が見つかりました。debug/macho 標準ライブラリ (stdlib) を使用し、不正な形式のバイナリが Open または OpenFat を使用して解析される場合、golang がスライス (配列) 外の読み取りを試行する原因となり、ImportedSymbols を呼び出すときにパニックが発生する可能性があります。
攻撃者がこの脆弱性を利用してファイルを細工し、このライブラリを使用しているアプリケーションをクラッシュさせ、サービス拒否を引き起こす可能性があります。(CVE-2021-41771)
Go 標準ライブラリの archive/zip に脆弱性が見つかりました。Go で書かれたアプリケーションでは、完全に無効な名前または空のファイル名引数を含む細工された ZIP アーカイブを解析する際に Reader.Open (Go 1.16 で導入された io/fs.FS を実装している API) がパニックになる可能性があります。(CVE-2021-41772)
canonicalHeader() 関数の golang の net/http ライブラリに、制御されないリソース消費の欠陥があります。net/http の http2 機能にリンクされたアプリケーションに特別に細工されたリクエストを送信する攻撃者が、過剰なリソース消費を引き起こし、サービス拒否やシステムのパフォーマンスやリソースへの影響につながる可能性があります。(CVE-2021-44716)
golang の syscall.ForkExec() インターフェースに欠陥があります。最初にプロセスのファイル記述子を使い果たすことに成功し、次に syscall.ForkExec() を繰り返し呼び出させることができる攻撃者が、syscall.ForkExec() にリンクされてそれを使用するプログラムで、制御されない方法によりデータ整合性および / または機密性を侵害する可能性があります。(CVE-2021-44717)
golangに欠陥が見つかりました。HTTP/1 クライアントが、チャンクされたエンコーディングを示す無効な Transfer-Encoding ヘッダーを受け入れていました。この問題により、リクエストのスマグリングも不適切に受け入れる中間サーバーと併用される場合のみ、リクエストのスマグリングが引き起こされる可能性があります。CVE-2022-1705
golang 標準ライブラリである go/parser に欠陥が見つかりました。深くネストした型または宣言を含む Go ソースコードで Parse 関数を呼び出すと、スタック枯渇によりパニックが発生する可能性があります。この問題により、攻撃者がシステムの可用性に影響を及ぼす可能性があります。CVE-2022-1962
Golangのライブラリのencoding/pemにバッファオーバーフローの欠陥が見つかりました。この欠陥により、攻撃者は大きな PEM 入力5 MB 以上を使用することができ、Decode でスタックオーバーフローを引き起こし、可用性に損失をもたらします。CVE-2022-24675
Golangのregexpモジュールにスタックオーバーフローの欠陥が見つかりました。これにより、regexpを使用するアプリケーションが十分なネスト深度を持つ信頼できないソースから非常に長いまたは任意に長いregexpを許可した場合、ランタイムがクラッシュする可能性があります。この脆弱性を悪用するには、攻撃者は深いネスト化された大きな正規表現をアプリケーションに送信する必要があります。この欠陥をトリガーすると、ランタイムのクラッシュを引き起こし、サービス拒否を引き起こす可能性があります。CVE-2022-24921
golang.org/x/crypto/ssh に破損した暗号化アルゴリズムの欠陥が見つかりました。この問題により、SHA-2 に基づく署名アルゴリズムを拒否するサーバーに対する RSA キーによる認証に、クライアントが失敗し、攻撃者がサーバーをクラッシュさせ、可用性の損失を引き起こすことが可能です。CVE-2022-27191
1.18.6 より前の Go および 1.19.x より前の 1.19.1の Go の net/http では、シャットダウンが致命的なエラーによってプリエンプションされた場合、HTTP/2 接続が終了時にハングする可能性があるため、攻撃者がサービス拒否を引き起こす可能性があります。CVE-2022-27664
golang encoding/xml に欠陥が見つかりました。深くネスト化された XML ドキュメントを解析する間に Decoder.Skip を呼び出すとき、スタック枯渇によってパニックが発生し、攻撃者がシステムの可用性に影響を与える可能性があります。
(CVE-2022-28131)
整数オーバーフローの欠陥が、Golang の crypto/elliptic ライブラリで見つかりました。この欠陥により、攻撃者は 32 バイトより長い細工されたスケーラー入力を使用することができ、 P256.ScalarMult または P256].ScalarBaseMult をパニックに陥らせ、可用性の損失を招く恐れがあります。CVE-2022-28327
Reader.Read では、ファイルヘッダーの最大サイズに制限が設定されません。悪意を持って細工されたアーカイブにより、Read が無制限の量のメモリを割り当て、リソースの枯渇またはパニックを引き起こす可能性があります。
修正後の Reader.Read はヘッダーブロックの最大サイズを 1 MiB に制限します。(CVE-2022-2879)
グループをチェックしてプロセスを呼び出す際の syscall.Faccessat 関数に欠陥が見つかりました。この欠陥により、攻撃者はファイルグループのメンバーではなくプロセスグループの権限をチェックでき、システムの可用性に影響を与える可能性があります。CVE-2022-29526
Go 1.17.11 および Go 1.18.3 より前の crypto/tls のセッションチケットの Ticket_age_add のランダムでない値により、TLS ハンドシェイクを観察できる攻撃者が、セッション再開中にチケット時間を比較することで連続する接続を関連付けることができます。CVE-2022-30629
golang標準ライブラリであるio/fsに欠陥が見つかりました。大量のパスセパレーターを含むパス上で Glob を呼び出すと、スタック枯渇によりパニック問題が発生する可能性があります。これにより、攻撃者が可用性に影響を与える可能性があります。CVE-2022-30630
golangに欠陥が見つかりました。長さゼロの圧縮ファイルが大量に連結されているアーカイブで Reader.Read メソッドを呼び出すと、スタックの枯渇によりパニックが発生する可能性があります。CVE-2022-30631
golangに欠陥が見つかりました。大量のパスセパレーターを含むパス上で Glob を呼び出すと、スタック枯渇によりパニック問題が発生する可能性があります。これにより、攻撃者は可用性に影響を与える可能性があります。
(CVE-2022-30632)
Go 1.17.12 および Go 1.18.4 より前の entity/xml における Unmarshal の制御されない再帰により、攻撃者が、任意のフィールドタグを使用するネストされたフィールドを持つ Go 構造体に XML ドキュメントをアンマーシャリングすることで、スタックの枯渇によるパニックを引き起こす可能性があります。CVE-2022-30633
golangに欠陥が見つかりました。深くネスト化された構造を含むメッセージで Decoder.Decode を呼び出すとき、スタック枯渇によってパニックが発生し、攻撃者がシステムの可用性に影響を与える可能性があります。CVE-2022-30635
Go 1.17.12 および Go 1.18.4 より前の net/http のクライアント IP アドレスの不適切な漏洩は、X-Forwarded-For ヘッダーの nil 値を含む Request.Header マップで httputil.ReverseProxy.ServeHTTP を呼び出すことで発生する可能性があります。これにより、ReverseProxy が発生しますクライアント IP を X-Forwarded-For ヘッダーの値として設定します。CVE-2022-32148
Golang math/big で制御されないリソース消費の欠陥が見つかりました。短すぎるエンコードされたメッセージは、Go の math/big の Float.GobDecode および Rat.GobDecode でパニックを引き起こし、攻撃者がサービス拒否を引き起こし、可用性に影響を与える可能性があります。CVE-2022-32189
JoinPath および URL.JoinPath は、相対パスに追加された ../ パス要素を削除しません。たとえば、JoinPath(https://go.dev, ../go) は、JoinPath のドキュメントに ../ パス要素が結果から取り除かれると書かれているにもかかわらず、URL https://go.dev/../goを返します。(CVE-2022-32190)
信頼できないソースから正規表現をコンパイルするプログラムは、メモリ枯渇またはサービス拒否に対して脆弱である可能性があります。解析された正規表現は入力サイズに線形ですが、場合によっては定数係数が 40,000 にもなり、比較的小さな正規表現がはるかに多くのメモリを消費します。修正後に解析される各正規表現は 256 MB のメモリフットプリントに制限されます。表現がそれより多くのスペースを使用する正規表現は、拒否されます。正規表現の通常の使用は影響を受けません。(CVE-2022-41715)
サニタイズされていない NULL 値により、攻撃者が Windows で環境変数を悪意を持って設定できる可能性があります。
syscall.StartProcess および os/exec.Cmd で、NUL 値を含む無効な環境変数値が適切にチェックされません。悪意のある環境変数の値がこの動作を悪用して、別の環境変数に値を設定する可能性があります。たとえば、環境変数文字列 A=Bx00C=D は、変数 A=B と C=D を設定します。CVE-2022-41716
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update golang --releasever 2023.0.20230322」または「dnf update --advisory ALAS2023-2023-048 --releasever 2023.0.20230322」を実行して、お使いのシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2023/ALAS2023-2023-048.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2021-33196.html
https://explore.alas.aws.amazon.com/CVE-2021-38297.html
https://explore.alas.aws.amazon.com/CVE-2021-41771.html
https://explore.alas.aws.amazon.com/CVE-2021-41772.html
https://explore.alas.aws.amazon.com/CVE-2021-44716.html
https://explore.alas.aws.amazon.com/CVE-2021-44717.html
https://explore.alas.aws.amazon.com/CVE-2022-1705.html
https://explore.alas.aws.amazon.com/CVE-2022-1962.html
https://explore.alas.aws.amazon.com/CVE-2022-24675.html
https://explore.alas.aws.amazon.com/CVE-2022-24921.html
https://explore.alas.aws.amazon.com/CVE-2022-27191.html
https://explore.alas.aws.amazon.com/CVE-2022-27664.html
https://explore.alas.aws.amazon.com/CVE-2022-28131.html
https://explore.alas.aws.amazon.com/CVE-2022-28327.html
https://explore.alas.aws.amazon.com/CVE-2022-2879.html
https://explore.alas.aws.amazon.com/CVE-2022-29526.html
https://explore.alas.aws.amazon.com/CVE-2022-30629.html
https://explore.alas.aws.amazon.com/CVE-2022-30630.html
https://explore.alas.aws.amazon.com/CVE-2022-30631.html
https://explore.alas.aws.amazon.com/CVE-2022-30632.html
https://explore.alas.aws.amazon.com/CVE-2022-30633.html
https://explore.alas.aws.amazon.com/CVE-2022-30635.html
https://explore.alas.aws.amazon.com/CVE-2022-32148.html
https://explore.alas.aws.amazon.com/CVE-2022-32189.html
https://explore.alas.aws.amazon.com/CVE-2022-32190.html
プラグインの詳細
深刻度: Critical
ID: 173069
ファイル名: al2023_ALAS2023-2023-048.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
公開日: 2023/3/21
更新日: 2025/9/11
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-38297
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:golang-bin, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:golang-race, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-misc, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-src
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2023/2/17
脆弱性公開日: 2021/8/2
参照情報
CVE: CVE-2021-33196, CVE-2021-38297, CVE-2021-41771, CVE-2021-41772, CVE-2021-44716, CVE-2021-44717, CVE-2022-1705, CVE-2022-1962, CVE-2022-24675, CVE-2022-24921, CVE-2022-27191, CVE-2022-27664, CVE-2022-28131, CVE-2022-28327, CVE-2022-2879, CVE-2022-29526, CVE-2022-30629, CVE-2022-30630, CVE-2022-30631, CVE-2022-30632, CVE-2022-30633, CVE-2022-30635, CVE-2022-32148, CVE-2022-32189, CVE-2022-32190, CVE-2022-41715, CVE-2022-41716
IAVB: 2021-B-0069-S, 2022-B-0025-S, 2022-B-0042-S, 2022-B-0046-S