Amazon Linux 2 : ecs-service-connect-agent (ALASECS-2023-003)

critical Nessus プラグイン ID 178286

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている ecs-service-connect-agent のバージョンは、v1.25.4.0-1 より前です。したがって、ALAS2ECS-2023-003 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Envoy は、クラウドネイティブなアプリケーション用に設計されたオープンソースのエッジおよびサービスプロキシです。バージョン 1.26.0、1.25.3、1.24.4、1.23.6 および 1.22.9 より前のバージョンでは、クライアントが JSON Web Token (JWT) チェックをバイパスし、偽のオリジナルパスを偽造する可能性があります。ヘッダー「x-envoy-original-path」は内部ヘッダーである必要がありますが、Envoy は信頼できないクライアントから送信されたリクエストに対して、リクエスト処理の開始時にこのヘッダーを削除しません。偽造されたヘッダーは、トレースログと grpc ログに使用されます。また、「jwt_authn」フィルターが使用されている場合の「jwt_authn」チェック、および x-envoy-original-path ヘッダーの他の upstream の使用にも用いられます。攻撃者が信頼できる「x-envoy-original-path」ヘッダーを偽造する可能性があります。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 には、この問題のパッチが含まれています。(CVE-2023-27487)

- Envoy は、クラウドネイティブなアプリケーション用に設計されたオープンソースのエッジおよびサービスプロキシです。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9より前のバージョンでは、「ext_authz」フィルターに「failure_mode_allow:
true」を設定すると権限昇格が可能です。ロギングおよび/または可視性に使用される影響を受けるコンポーネントの場合、リクエストが受信側のサービスによって記録されない可能性があります。Envoy が ext_authz、ext_proc、tap、ratelimit フィルター、および grpc アクセスログサービスを使用するように設定されており、UTF-8 以外のデータを含む http ヘッダーを受信すると、Envoy は無効な protobuf メッセージを生成し、設定されたサービスに送信していました。
受信側のサービスでは通常、protobuf メッセージをデコードする際にエラーが発生します。ext_authz で「failure_mode_allow: true」が設定されている場合、このリクエストが許可されていました。
他のサービスの場合、これによりリクエストを可視性できないなど、他の予期しないエラーが発生する可能性があります。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、1.22.9 の時点で、Envoy はデフォルトで、gRPC サービスコールで送信される値を有効な UTF-8 にサニタイズし、有効な UTF-8 でないデータは「!」文字で置き換えます。ランタイムガード「envoy.reloadable_features.service_sanitize_non_utf8_strings」を false に設定することで、この動作の変更を一時的に戻すことができます。回避策として、「ext_authz」に「failure_mode_allow: false」を設定します。(CVE-2023-27488)

- Envoy は、クラウドネイティブなアプリケーション用に設計されたオープンソースのエッジおよびサービスプロキシです。HTTP/1 に準拠したサービスでは、無効な形式のリクエストラインは拒否されるはずです。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 より前のバージョンでは、HTTP/1 に準拠していないサービスが無効な形式のリクエストを許可し、セキュリティポリシーのバイパスにつながる可能性があります。この問題はバージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 で修正されています。(CVE-2023-27491)

- Envoy は、クラウドネイティブなアプリケーション用に設計されたオープンソースのエッジおよびサービスプロキシです。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 より前の Lua フィルターは、サービス拒否に対して脆弱です。攻撃者は、Lua フィルターを有効にしているルートに大きなリクエスト本文を送信し、クラッシュを引き起こす可能性があります。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 の時点で、フィルターがリセットされた場合、Envoy は Lua コルーチンを呼び出しません。Lua フィルターがすべてのリクエスト / 応答をバッファリングしている場合の回避策として、Lua フィルターでローカル応答をトリガーしないようバッファフィルターを使用することで緩和されます。
(CVE-2023-27492)

- Envoy は、クラウドネイティブなアプリケーション用に設計されたオープンソースのエッジおよびサービスプロキシです。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 より前の Envoy は、リクエストヘッダーの生成時にリクエストプロパティをサニタイズまたはエスケープしません。これにより、ヘッダー値で無効な文字が Upstream サービスに送信される可能性があります。最悪の場合、Upstream サービスが元のリクエストを 2 つのパイプライン化されたリクエストとして解釈し、Envoy のセキュリティポリシーの意図をバイパスする可能性があります。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 にはパッチが含まれています。回避策として、ダウンストリーム証明書のプロパティなどのダウンストリームリクエストのプロパティに基づくリクエストヘッダーの追加を無効にします。(CVE-2023-27493)

- Envoy は、クラウドネイティブなアプリケーション用に設計されたオープンソースのエッジおよびサービスプロキシです。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9より前のバージョンで、OAuth フィルターは、OAuth リダイレクト応答のように見える応答に「state」クエリパラメーターが存在することを前提としています。「state」パラメーターを指定せずに、リダイレクトパスと同等の URI パスを持つリクエストを送信すると、Envoy プロセスが異常終了します。バージョン 1.26.0、1.25.3、1.24.4、1.23.6、および 1.22.9 にはパッチが含まれています。この問題は、OAuth トラフィックをロックダウンしたり、フィルターを無効にしたり、OAuth フィルターに到達する前にトラフィックをフィルタリングしたりする (例: lua スクリプトを介して) ことによっても軽減できます。(CVE-2023-27496)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。