Amazon Linux 2 : golang, --advisory ALAS2-2026-3313 (ALAS-2026-3313)
medium Nessus プラグイン ID 316999
Language:
概要
リモートの Amazon Linux 2 ホストに、セキュリティ更新プログラムがありません。説明
リモートホストにインストールされている golang のバージョンは 1.25.10-1 より前のものです。したがって、ALAS2-2026-3313 のアドバイザリに記載されている複数の脆弱性の影響を受けます。cgo DNS リゾルバーで LookupCNAME を使用すると、非常に長い CNAME 応答が C メモリの二重解放とクラッシュを発生させる可能性があります。(CVE-2026-33811)
HTTP/2 SETTINGS フレームを処理するときに、値が 0 のSETTINGS_MAX_FRAME_SIZEを受け取ると、トランスポートは CONTINUATION フレームを書き込む無限ループに入ります。(CVE-2026-33814)
go tool pack サブコマンド(通常、既知の良好な入力がある内部ツールとしてコンパイラによってのみ使用されます)は、出力ファイル名をサニタイズしません。packサブコマンドを使用して悪意のあるアーカイブファイルを抽出すると、ファイルシステム上の任意の場所にファイルが書き込まれる可能性があります。(CVE-2026-39817)
go bugコマンドは、システムの一時ディレクトリ(/tmpなど)にある予測可能な名前を持つ2つのファイルに書き込みます。一時ディレクトリにアクセスできる攻撃者が、これらの名前のいずれかでシンボリックリンクを作成し、goバグにシンボリックリンクのターゲットを上書きさせる可能性があります。(CVE-2026-39819)
ParseAddress、ParseAddressList、ParseDateに到達する巧妙に細工された入力が、過剰なCPU消耗とメモリ割り当てを発生させることが可能でした。(CVE-2026-39820)
CVE-2026-27142 URL が <meta> タグの <content> 属性内で正しくエスケープされない脆弱性を修正しました。URL コンテンツが <content> 属性内の「=」ルーンの周囲に ASCII 空白を挿入する場合、エスケープ機能も同様にエスケープできず、XSS が発生します。(CVE-2026-39823)
ReverseProxy は、Rewrite 関数に表示されないパラメーターを含むクエリを転送する可能性があります。Rewrite 関数、またはクエリパラメーターを解析する Director 関数と併用される場合、ReverseProxy は転送されたリクエストをサニタイズし、URL によって解析されないクエリパラメーターを削除します。ParseQuery。ReverseProxy は、(GODEBUG=urlmaxqueryparams=N によって制御される)クエリパラメーターの総数に関する ParseQuery の制限を考慮しません。これにより、ReverseProxy は、Rewrite 関数に対して表示されないクエリパラメーターを含むリクエストを転送できる可能性があります。たとえば、クエリ a1=x&a2=x&...&a10000=x&hidden=y は、パラメーター hidden=y を転送しながら、プロキシの再書き込み関数でこれを非表示にすることができます。(CVE-2026-39825)
信頼できるテンプレート作成者が、空の「type」属性または ASCII 空白のある「type」属性を含む <script> タグを書き込むと、テンプレートの実行時に <script> ブロックに渡されるデータが不適切にエスケープされます。(CVE-2026-39826)
RFC 5322 にしたがってメールアドレスを解析する際、異常な入力により consumePhrase を介した DoS が引き起こされる可能性があります。(CVE-2026-42499)
悪意のあるモジュールプロキシが go コマンドによるモジュールチェックサム検証の欠陥を悪用して、チェックサムデータベース検証をバイパスする可能性があります。この脆弱性は、信頼できないモジュールプロキシ(GOMODPROXY)またはチェックサムデータベース(GOSUMDB)を使用するすべてのユーザーに影響を与えます。悪意のあるモジュールプロキシが、Go ツールチェーンの変更されたバージョンを提供する可能性があります。現在インストールされているツールチェーンとは異なるバージョンの Go ツールチェーンを選択すると (GOTOOLCHAIN 環境変数、あるいはツールチェーンラインのある go.work または go.mod が原因)、go コマンドは、モジュールプロキシによって提供されたツールチェーンをダウンロードして実行します。悪意のあるモジュールプロキシが、このダウンロードされたツールチェーンのチェックサムデータベース検証をバイパスする可能性があります。この脆弱性はツールチェーンダウンロードのセキュリティに影響を与えるため、GOTOOLCHAIN を固定バージョンに設定するだけでは不十分です。基本のGoツールチェーンをアップグレードする必要があります。goツールは、ツールチェーンの実行前に常にツールチェーンのハッシュを検証するため、修正済みバージョンはツールチェーンのキャッシュまたは変更されたバージョンの実行を拒否します。goツールはgo.sumファイルを信頼し、現在のモジュールの依存関係の正確なハッシュが含まれています。この脆弱性を悪用して変更されたモジュールを提供する悪意のあるプロキシは、go.sum に不適切なハッシュが記録される原因となります。信頼できない GOPROXY を構成したユーザーは、rm go.sum の実行によって影響を受けたかどうかを判断できます。モッズを整えてください。go mod verify を実行し、現在のモジュールのすべての依存関係を再検証します。特定の欠陥の詳細:モジュールがgo.sumファイルにリストされていないとき、goコマンドはチェックサムデータベースを参照してダウンロードされたモジュールを検証します。チェックサムデータベースによって報告されたモジュールハッシュが、ダウンロードされたモジュールのハッシュと一致することを検証します。ただし、チェックサムデータベースがモジュールのエントリを含んでいない正常な応答を返す場合は、go コマンドが検証を誤って許可していました。モジュールプロキシはチェックサムデータベースをミラーまたはプロキシすることがありますが、その場合、goコマンドはチェックサムデータベースに直接接続しません。チェックサムデータベースによって報告されたチェックサムは暗号で署名されているため、悪意のあるプロキシは、報告されたモジュールのチェックサムを変更しません。ただし、空のチェックサム応答、または関連のないモジュールのチェックサム応答を返すプロキシにより、ダウンロードされたモジュールが検証されたかのようにgoコマンドが続行する可能性があります。
(CVE-2026-42501)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「yum update golang」または「yum update --advisory ALAS2-2026-3313」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2/ALAS2-2026-3313.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-33811.html
https://explore.alas.aws.amazon.com/CVE-2026-33814.html
https://explore.alas.aws.amazon.com/CVE-2026-39817.html
https://explore.alas.aws.amazon.com/CVE-2026-39819.html
https://explore.alas.aws.amazon.com/CVE-2026-39820.html
https://explore.alas.aws.amazon.com/CVE-2026-39823.html
https://explore.alas.aws.amazon.com/CVE-2026-39825.html
https://explore.alas.aws.amazon.com/CVE-2026-39826.html
プラグインの詳細
深刻度: Medium
ID: 316999
ファイル名: al2_ALAS-2026-3313.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
公開日: 2026/5/27
更新日: 2026/5/27
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Medium
基本値: 4.6
現状値: 3.4
ベクトル: CVSS2#AV:L/AC:L/Au:S/C:N/I:C/A:N
CVSS スコアのソース: CVE-2026-39817
CVSS v3
リスクファクター: Medium
基本値: 5.9
現状値: 5.2
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:golang-bin, p-cpe:/a:amazon:linux:golang-src, cpe:/o:amazon:linux:2, p-cpe:/a:amazon:linux:golang-tests, p-cpe:/a:amazon:linux:golang, p-cpe:/a:amazon:linux:golang-shared, p-cpe:/a:amazon:linux:golang-docs, p-cpe:/a:amazon:linux:golang-misc
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/5/26
脆弱性公開日: 2026/5/7
参照情報
CVE: CVE-2026-33811, CVE-2026-33814, CVE-2026-39817, CVE-2026-39819, CVE-2026-39820, CVE-2026-39823, CVE-2026-39825, CVE-2026-39826, CVE-2026-42499, CVE-2026-42501
IAVB: 2026-B-0120