Amazon Linux 2 : runfinch-finch (ALASDOCKER-2025-050)
critical Nessus プラグイン ID 214926
Language:
概要
リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。説明
リモートホストにインストールされている runfinch-finch のバージョンは、1.6.0-1 より前です。したがって、ALAS2DOCKER-2025-050 のアドバイザリに記載されている複数の脆弱性の影響を受けます。2025-02-12: CVE-2024-51744 はこのアドバイザリに追加されました。
2025-02-12: CVE-2024-45338 はこのアドバイザリに追加されました。
ServerConfig.PublicKeyCallback コールバックを悪用するアプリケーションおよびライブラリは、認証バイパスの影響を受けやすい場合があります。ServerConfig.PublicKeyCallback のドキュメントによると、この関数を呼び出しても、提供されたキーが実際に認証に使用されることは保証されません。具体的には、SSH プロトコルにより、クライアントは、対応する秘密鍵のコントロールを証明する前に、公開鍵が受け入れ可能かどうかを照会できます。PublicKeyCallback は複数のキーで呼び出される可能性があり、キーが提供された順序は、クライアントがどのキーで正常に認証されたかを推測するために使用することはできません (存在する場合)。
PublicKeyCallback に渡されるキー (または派生情報) を保存し、接続が確立されるとそれに基づいてセキュリティ関連の判断を行う一部のアプリケーションは、不適切な仮定をする可能性があります。たとえば、攻撃者が公開鍵 A と B を送信し、A で認証する可能性があります。
PublicKeyCallback が、最初は A で、次は B で、2 回だけ呼び出されます。その後、脆弱なアプリケーションが、攻撃者が秘密鍵を実際にコントロールしていないキー B に基づいて、承認の決定を行う可能性があります。この API は広く誤用されているため、部分的な緩和策として golang.org/x/[email protected] は、公開鍵による認証に成功した場合に、ServerConfig.PublicKeyCallback に最後に渡される鍵が接続を認証するのに使用する鍵となるプロパティを強制しています。PublicKeyCallback が、必要に応じて、同じキーで複数回呼び出されるようになりました。その後で接続が PasswordCallback、KeyboardInteractiveCallback、NoClientAuth などの別の方法で認証される場合、クライアントは PublicKeyCallback に渡された最後のキーをまだ制御できない可能性があります。ユーザーは、外部状態を参照する代わりに、認証の試行に関連するデータを記録するために、さまざまな認証コールバックからのアクセス許可の戻り値の拡張フィールドを使用する必要があります。接続が確立されると、成功した認証試行に対応する状態は、ServerConn.Permissions フィールドを介して取得できます。注意: 一部のサードパーティライブラリは、複数の認証試行で Permissions タイプを共有することで、このタイプを悪用します。サードパーティライブラリのユーザーは、関連するプロジェクトのガイダンスを参照する必要があります。(CVE-2024-45337)
攻撃者は、長さに関して非直線的に処理される Parse 関数への入力を細工して、解析を極端に遅くすることができます。これは、サービス拒否を引き起こす可能性があります。(CVE-2024-45338)
golang-jwt は、JSON Web Tokens の Go 実装です。「ParseWithClaims」のエラー動作の不明確な文書化により、ユーザーが本来あるべき方法でエラーをチェックできない可能性があります。特に、トークンが期限切れかつ無効な場合、「ParseWithClaims」が返すエラーは両方のエラーコードを返します。ユーザーが「error.Is」を使用して「jwt.ErrTokenExpired」のみをチェックすると、埋め込まれた「jwt.ErrTokenSignatureInvalid」を無視するため、無効なトークンを受け入れる可能性があります。エラー処理ロジックの修正が、「v5」ブランチから「v4」ブランチにバックポートされました。このロジックでは、「ParseWithClaims」関数は危険な状況 (無効な署名など) ですぐに戻り、エラーの組み合わせは、署名は有効でもそれ以上の検証が失敗した状況のみに制限されます (例: 署名は有効でも、期限切れで、間違った対象者がいる状況)。この修正は、4.5.1 リリースの一部です。これは、確立された関数の動作を変更するものであり、100% の後方互換性がないため、4.5.1 に更新するとコードが破損する可能性があることを認識しています。4.5.0 に更新できない場合は、すべてのエラーを適切にチェックしており (最初に危険なエラー)、上記のケースを実行していないことを確認してください。(CVE-2024-51744)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「yum update runfinch-finch」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com/AL2/ALASDOCKER-2025-050.html
https://alas.aws.amazon.com/faqs.html
https://alas.aws.amazon.com/cve/html/CVE-2024-45337.html
プラグインの詳細
深刻度: Critical
ID: 214926
ファイル名: al2_ALASDOCKER-2025-050.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2025/2/4
更新日: 2025/2/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 9.4
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2024-45337
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 8.2
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:runfinch-finch
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/1/31
脆弱性公開日: 2024/12/11