Amazon Linux 2023 : amazon-cloudwatch-agent (ALAS2023-2024-708)

medium Nessus プラグイン ID 206817

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2024-708 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

Azure Identity ライブラリおよび Microsoft Authentication Library の権限昇格の脆弱性 (CVE-2024-35255)

OpenTelemetry Collector は、テレメトリデータを受信、処理、エクスポートする方法に関して、ベンダーに依存しない実装を提供します。安全でない展開の脆弱性により、認証されていない攻撃者が過剰なメモリ消費を介してコレクターをクラッシュさせる可能性があります。OTel Collector バージョン 0.102.1 はこの問題を修正します。また、confighttp モジュールバージョン 0.102.0 および configgrpc モジュールバージョン 0.102.1 でも修正されています。(CVE-2024-36129)

AWS は、CVE-2024-41110 を認識しています。これは、Amazon Linux で docker としてパッケージ化された Moby オープンソースプロジェクトに影響を与える問題です。Docker は、いくつかのオープンソースコンテナ管理システムのコンポーネントです。

この問題は、docker のデフォルト設定には影響しません。認証プラグインが有効な場合、docker デーモンへの特別に細工された API リクエストが認証プラグインに転送され、権限昇格などの意図しないアクションが引き起こされる可能性があります。承認プラグインの有効化は、通常とは異なる設定です。影響を受ける API エンドポイントは、デフォルト、標準、推奨のいずれの構成でもネットワークに公開されていません。デフォルトの EKS および ECS 設定は、API エンドポイントをネットワークに公開しません。ECS を使用している場合、Docker 認証プラグインの有効化はサポートされていません。最後に、docker は 1.24 より新しい EKS AMI にはインストールされていません。Docker は 1.24 以前の EKS にインストールされていますが、EKS は認証プラグインをサポートしていません。

この問題に対応する更新済みの docker パッケージが、Amazon Linux 2 (docker-20.10.25-1.amzn2.0.5 および docker-25.0.6-1.amzn2.0.1) および Amazon Linux 2023 (docker-25.0.6-1amzn2023.0.1) で利用可能です。AWS では、docker を使用しているお客様には、これらのバージョン以降にアップグレードすることを推奨しています。(CVE-2024-41110)

0.7.7 より前の go-retryablehttp は、ログファイルに書き込む際に URL をサニタイズしませんでした。これにより、go-retryablehttp が機密性の高い HTTP 基本認証情報をログファイルに書き込む可能性があります。この脆弱性 CVE-2024-6104 は、go-retryablehttp 0.7.7 で修正されました。(CVE-2024-6104)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。