SUSE近日發(fā)布針對Amazon Systems Manager（SSM）Agent的重要安全更新，解決了“go-git”庫中的嚴重漏洞CVE-2025-21613。該漏洞可能允許攻擊者在特定情況下篡改git-upload-pack標志。

go-git是一個用純Go語言編寫的高度可擴展的Git實現(xiàn)庫。在v5.13之前的版本中，go-git被發(fā)現(xiàn)存在參數(shù)注入漏洞。攻擊者如果成功利用該漏洞，可以為git-upload-pack標志設(shè)置任意值。此問題僅在使用文件傳輸協(xié)議時出現(xiàn)，因為該協(xié)議是唯一調(diào)用Git二進制文件的協(xié)議。

安全更新的關(guān)鍵細節(jié)

該漏洞源于對URL字段的不當(dāng)處理，為參數(shù)注入攻擊提供了可乘之機，進而危及系統(tǒng)完整性。受影響的Amazon SSM Agent已更新至3.3.1611.0版本，修復(fù)了此漏洞。更新后，系統(tǒng)能夠安全地處理輸入，降低了被利用的風(fēng)險。

已發(fā)布軟件包列表：

受影響產(chǎn)品列表：

此更新適用于以下版本的SUSE Linux Enterprise產(chǎn)品：

• Public Cloud Module 12
• SUSE Linux Enterprise High Performance Computing：版本12 SP2至SP5
• SUSE Linux Enterprise Server：版本12、12 SP1至SP5
• SUSE Linux Enterprise Server for SAP Applications：版本12、12 SP1至SP5

更新說明

SUSE 建議使用 YaST 或zypper patch命令應(yīng)用更新。具體操作如下：

(1) Public Cloud Module 12

zypper in -t patch SUSE-SLE-Module-Public-Cloud-12-2025-191=1

更新完成后，請確保重啟所有依賴 Amazon SSM Agent 的服務(wù)或進程。

(2) Public Cloud Module 12（aarch64, x86_64）

更新包：amazon-ssm-agent-3.3.1611.0-4.36.1

為了維護環(huán)境的安全性和穩(wěn)定性，SUSE建議立即更新Amazon SSM代理。

參考鏈接：https://cybersecuritynews.com/critical-injection-vulnerability-in-suse-linux-distro/