Amazon Linux 2023 : runfinch-finch (ALAS2023-2025-816)

low Nessus プラグイン ID 214620

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2025-816 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

攻撃者は、長さに関して非直線的に処理される Parse 関数への入力を細工して、解析を極端に遅くすることができます。これは、サービス拒否を引き起こす可能性があります。(CVE-2024-45338)

golang-jwt は、JSON Web Tokens の Go 実装です。「ParseWithClaims」のエラー動作の不明確な文書化により、ユーザーが本来あるべき方法でエラーをチェックできない可能性があります。特に、トークンが期限切れかつ無効な場合、「ParseWithClaims」が返すエラーは両方のエラーコードを返します。ユーザーが「error.Is」を使用して「jwt.ErrTokenExpired」のみをチェックすると、埋め込まれた「jwt.ErrTokenSignatureInvalid」を無視するため、無効なトークンを受け入れる可能性があります。エラー処理ロジックの修正が、「v5」ブランチから「v4」ブランチにバックポートされました。このロジックでは、「ParseWithClaims」関数は危険な状況 (無効な署名など) ですぐに戻り、エラーの組み合わせは、署名は有効でもそれ以上の検証が失敗した状況のみに制限されます (例: 署名は有効でも、期限切れで、間違った対象者がいる状況)。この修正は、4.5.1 リリースの一部です。これは、確立された関数の動作を変更するものであり、100% の後方互換性がないため、4.5.1 に更新するとコードが破損する可能性があることを認識しています。4.5.0 に更新できない場合は、すべてのエラーを適切にチェックしており (最初に危険なエラー)、上記のケースを実行していないことを確認してください。(CVE-2024-51744)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。