検出

Amazon Linux 2023 : containerd、containerd-stress (ALAS2023-2025-930)

medium Nessus プラグイン ID 234329

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2025-930 のアドバイザリに記載されている脆弱性の影響を受けます。

 Go JOSE は、JSON Web Encryption (JWE)、JSON Web Signature (JWS)、JSON Web Token (JWT) 標準のサポートを含む、Go の標準である Javascript Object Signing および Encryption の一連の実装を提供します。バージョン 4.0.5 より前の 4.x ブランチのバージョンでは、コンパクトな JWS または JWE 入力を解析する際に、Go JOSE が過剰なメモリを使用する可能性があります。コードは、strings.Split(token, .) を使用して JWT トークンを分割しました。これは、多数の「.」文字がある悪意のある細工されたトークンを処理するとき、過剰なメモリ消費に対して脆弱です。攻撃者がこれを悪用して多数の無効な形式のトークンを送信し、メモリ枯渇とサービス拒否を引き起こす可能性があります。バージョン 4.0.5 ではこの問題が修正されています。回避策として、アプリケーションは、Go JOSE に渡されるペイロードに過剰な数の「.」文字が含まれていないことを事前に検証できます。
 (CVE-2025-27144)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

「dnf update containerd --releasever 2023.7.20250414」を実行してシステムを更新してください。

参考資料

https://alas.aws.amazon.com/AL2023/ALAS-2025-930.html

https://alas.aws.amazon.com/cve/html/CVE-2025-27144.html

https://alas.aws.amazon.com/faqs.html

プラグインの詳細

深刻度: Medium

ID: 234329

ファイル名: al2023_ALAS2023-2025-930.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/4/14

更新日: 2025/4/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2025-27144

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.9

Threat Score: 2.7

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:amazon:linux:containerd-stress, p-cpe:/a:amazon:linux:containerd-debugsource, p-cpe:/a:amazon:linux:containerd, p-cpe:/a:amazon:linux:containerd-debuginfo, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:containerd-stress-debuginfo

必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/4/9

脆弱性公開日: 2025/2/24

参照情報

CVE: CVE-2025-27144