Amazon Linux 2 : amazon-cloudwatch-agent (ALAS-2025-2779)

critical Nessus プラグイン ID 232366

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている amazon-cloudwatch-agent のバージョンは、1.300052.1-1 より前です。したがって、ALAS2-2025-2779 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

深くネストされたリテラルを含む Go ソースコードでいずれかの Parse 関数を呼び出すと、スタック枯渇によりパニックを引き起こす可能性があります。(CVE-2024-34155)

深いネスト構造を持つメッセージで Decoder.Decode を呼び出すと、スタック枯渇によりパニックを引き起こす可能性があります。これは、CVE-2022-30635 へのフォローアップです。(CVE-2024-34156)

深くネスト化された表現がある // +build ビルドタグラインで Parse を呼び出すと、スタックの枯渇によるパニックが発生する可能性があります。(CVE-2024-34158)

ServerConfig.PublicKeyCallback コールバックを悪用するアプリケーションおよびライブラリは、認証バイパスの影響を受けやすい場合があります。ServerConfig.PublicKeyCallback のドキュメントによると、この関数を呼び出しても、提供されたキーが実際に認証に使用されることは保証されません。具体的には、SSH プロトコルにより、クライアントは、対応する秘密鍵のコントロールを証明する前に、公開鍵が受け入れ可能かどうかを照会できます。PublicKeyCallback は複数のキーで呼び出される可能性があり、キーが提供された順序は、クライアントがどのキーで正常に認証されたかを推測するために使用することはできません (存在する場合)。
PublicKeyCallback に渡されるキー (または派生情報) を保存し、接続が確立されるとそれに基づいてセキュリティ関連の判断を行う一部のアプリケーションは、不適切な仮定をする可能性があります。たとえば、攻撃者が公開鍵 A と B を送信し、A で認証する可能性があります。
PublicKeyCallback が、最初は A で、次は B で、2 回だけ呼び出されます。その後、脆弱なアプリケーションが、攻撃者が秘密鍵を実際にコントロールしていないキー B に基づいて、承認の決定を行う可能性があります。この API は広く誤用されているため、部分的な緩和策として golang.org/x/[email protected] は、公開鍵による認証に成功した場合に、ServerConfig.PublicKeyCallback に最後に渡される鍵が接続を認証するのに使用する鍵となるプロパティを強制しています。PublicKeyCallback が、必要に応じて、同じキーで複数回呼び出されるようになりました。その後で接続が PasswordCallback、KeyboardInteractiveCallback、NoClientAuth などの別の方法で認証される場合、クライアントは PublicKeyCallback に渡された最後のキーをまだ制御できない可能性があります。ユーザーは、外部状態を参照する代わりに、認証の試行に関連するデータを記録するために、さまざまな認証コールバックからのアクセス許可の戻り値の拡張フィールドを使用する必要があります。接続が確立されると、成功した認証試行に対応する状態は、ServerConn.Permissions フィールドを介して取得できます。注意: 一部のサードパーティライブラリは、複数の認証試行で Permissions タイプを共有することで、このタイプを悪用します。サードパーティライブラリのユーザーは、関連するプロジェクトのガイダンスを参照する必要があります。(CVE-2024-45337)

攻撃者は、長さに関して非直線的に処理される Parse 関数への入力を細工して、解析を極端に遅くすることができます。これは、サービス拒否を引き起こす可能性があります。(CVE-2024-45338)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。