Amazon Linux 2 : rclone、 --advisory ALAS2-2026-3264 (ALAS-2026-3264)

critical Nessus プラグイン ID 311209

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている rclone のバージョンは、1.55.1-1 より前です。したがって、ALAS2-2026-3264 のアドバイザリに記載されている脆弱性の影響を受けます。

gRPC-Goは、gRPCのGo言語実装です。1.79.3以前のバージョンでは、HTTP/2の「:p ath」疑似ヘッダーの誤った入力検証による認可バイパスが存在します。gRPC-Goサーバーはルーティングロジックが甘すぎて、「:p ath」が必須の先頭スラッシュを省略しているリクエスト(例:「Service/Method」ではなく「Service/Method」)を受け入れていました。サーバーはこれらのリクエストを正しいハンドラにうまくルーティングしましたが、認可インターセプタ(公式の「grpc/authz」パッケージを含む)は生の非正準パス文字列を評価しました。その結果、標準パス('/'で始まる)で定義されたdenyルールは受信リクエストと一致せず、フォールバック許可ルールが存在する場合にポリシーを回避できてしまいました。これは、公式RBAC実装の「google.golang.org/grpc/authz」や「info」に依存するカスタムインターセプタなど、パスベースの認可インターセプタを使用するgRPC-Goサーバーに影響を与えます。フルメソッド」または「grpc.」Method(ctx)';そして、セキュリティポリシーを持つものは、標準パスに対して特定の拒否ルールを持ちながら、他のリクエストはデフォルトで許可します(フォールバック許可ルール)。この脆弱性は、攻撃者が不適切な「:p ath」ヘッダーを持つ生のHTTP/2フレームを直接gRPCサーバーに送信することで悪用可能です。バージョン 1.79.3 の修正により、先頭スラッシュで始まらない「:p ath」のリクエストは即座に「codes」で却下されます。未実装エラーで、非正準パス文字列を持つ認可インターセプターやハンドラーに到達できません。アップグレードが最も安全かつ推奨される方法ですが、ユーザーは以下のいずれかの方法で脆弱性を軽減できます:検証インターセプターの使用(推奨緩和策);インフラレベルの正常化;または政策の強硬化。(CVE-2026-33186)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。