検出

AIX : 複数の脆弱性 (IJ47597)

medium Nessus プラグイン ID 178848

Language:

概要

リモートの AIX ホストにセキュリティパッチがありません。

説明

リモートホストにインストールされている AIX のバージョンは、APAR IJ47597 より前です。したがって、IJ47597 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - 2.10.4より前の libxml2 で問題が発見されました。細工された XML ドキュメントで空の dict 文字列をハッシュするとき、dict.c の xmlDictComputeFastKey が非決定的な値を生成し、二重解放などのさまざまなロジックおよびメモリエラーを引き起こす可能性があります。この動作が発生するのは、空の文字列の最初のバイトを使用しようとする試みがあり、任意の値 (「\0」値だけではない) が可能であるためです。(CVE-2023-29469)

 - 2.10.4より前の libxml2 で、特定の無効な XSD スキーマを解析すると、NULL ポインターデリファレンスが発生し、続いてセグメンテーション違反が発生する可能性があります。これは、xmlschemas.c の xmlSchemaFixupComplexType で発生します。(CVE-2023-28484)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

APAR IJ47597 に従って適切な暫定修正を適用してください。

参考資料

https://www.ibm.com/support/pages/apar/IJ47597

https://www.ibm.com/support/pages/node/7014485

プラグインの詳細

深刻度: Medium

ID: 178848

ファイル名: aix_IJ47597.nasl

バージョン: 1.2

タイプ: local

ファミリー: AIX Local Security Checks

公開日: 2023/7/26

更新日: 2024/10/23

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2023-29469

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

必要な KB アイテム: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/7/25

脆弱性公開日: 2023/7/25

参照情報

CVE: CVE-2023-28484, CVE-2023-29469