Amazon Linux 2 : docker、--advisory ALAS2NITRO-ENCLAVES-2026-100 (ALASNITRO-ENCLAVES-2026-100)

high Nessus プラグイン ID 314560

Language:

概要

リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。

説明

リモートホストにインストールされている docker のバージョンは、25.0.14-1より前のものです。したがって、ALAS2NITRO-ENCLAVES-2026-100 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

Moby は、オープンソースのコンテナフレームワークです。バージョン 29.3.1より前では、セキュリティの脆弱性が検出され、dockerプラグインのインストール中にプラグインの権限検証がバイパスされる可能性があります。デーモンの権限比較ロジックのエラーにより、デーモンが、ユーザーが承認した権限セットとは異なる権限セットを不適切に受け入れる可能性があります。比較がまったく実行されないため、1 つの権限だけをリクエストするプラグインも影響を受けます。この問題には、バージョン 29.3.1 でパッチが適用されています。(CVE-2026-33997)

OpenTelemetry-Go は OpenTelemetry の Go 実装です。1.43.0 より前では、otlp HTTP エクスポージャー (traces/metrics/logs) は、HTTP 応答本体をサイズ cap なしでメモリ内の bytes.Buffer に読み取ります。
これは、構成済みのコレクターエンドポイントが攻撃者によって制御されている場合 (またはネットワーク攻撃者がエクスポージャー接続を緩和できる場合) に、メモリ枯渇に悪用される可能性があります。この脆弱性は 1.43.0 で修正されています。
(CVE-2026-39882)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。