Amazon Linux 2023: git-lfs (ALAS2023-2025-1258)

high Nessus プラグイン ID 274682

Language:

概要

リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。

説明

したがって、ALAS2023-2025-1258 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

Git LFS は、大きなファイルをバージョン管理するための Git 拡張機能です。0.5.23.7.0までのGit LFSバージョンでは、Gitリポジトリの作業ツリーにGit LFSオブジェクトのコンテンツを入力したとき、Git LFSによって追跡されるファイルのパスと衝突するシンボリックリンクまたはハードリンクが存在する場合、特定のGit LFSコマンドが現在のGit作業ツリーの外側に表示されているファイルに書き込む可能性があります。git lfs checkoutコマンドとgit lfs pullコマンドは、作業ツリー内のファイルに書き込む前にシンボリックリンクをチェックしないため、攻撃者がシンボリックリンクまたはハードリンクを含むリポジトリを細工し、これらのコマンドを実行するユーザーがアクセスできる任意のファイルシステムの場所にGit LFSに書き込ませることが可能です。また、git lfs checkoutおよびgit lfs pullコマンドがベアリポジトリで実行されると、リポジトリの外部で表示されているファイルに書き込まれる可能性があります。この脆弱性はバージョン 3.7.1 で修正されています。回避策として、Gitでのシンボリックリンクのサポートを無効にして、core.symlinks構成オプションをfalseに設定することで、その後、追加のクローンおよびフェッチでシンボリックリンクが作成されなくなります。ただし、既存のリポジトリ内のシンボリックリンクやハードリンクは、Git LFS がターゲットに書き込む機会を提供します。(CVE-2025-26625)

crypto/x509:名前制約をチェックするときの二次複雑度

名前制約チェックアルゴリズムの設計により、一部の入力の処理時間は、証明書のサイズに対して非線形にスケールします。

これは、任意の証明書チェーンを検証するプログラムに影響を与えます。(CVE-2025-58187)

archive/zip: 任意の ZIP アーカイブを解析する際のサービス拒否 (CVE-2025-61728)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。