Amazon Linux 2 : amazon-ssm-agent (ALAS-2025-2739)

critical Nessus プラグイン ID 214978

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている amazon-ssm-agent のバージョンは、3.3.1611.0-1 より前です。したがって、ALAS2-2025-2739 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

go-git は、純粋な Go で書かれた拡張性の高い git 実装ライブラリです。- v5.13 より前のバージョンの go-git で、引数インジェクションの脆弱性が見つかりました。この脆弱性の悪用に成功すると、攻撃者が任意の値を git-upload-pack フラグに設定する可能性があります。これは、ファイル転送プロトコルが git バイナリにシェルを送信する唯一のプロトコルであるため、ファイル転送プロトコルが使用されている場合にのみ発生します。この脆弱性は 5.13.0 で修正されました。(CVE-2025-21613)

go-git は、純粋な Go で書かれた拡張性の高い git 実装ライブラリです。v5.13 より前の go-git バージョンので、サービス拒否 (DoS) の脆弱性が見つかりました。この脆弱性により、攻撃者は特別に細工された応答を Git サーバーから提供し、go-git クライアントのリソース枯渇を発生させることで、サービス拒否攻撃を実行する可能性があります。v4 以降の go-git のバージョンを実行しているユーザーは、この脆弱性を緩和するために v5.13 にアップグレードすることが推奨されます。(CVE-2025-21614)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。