Nutanix AOS : 複数の脆弱性 (NXSA-AOS-6.10.0.5)

medium Nessus プラグイン ID 213288

概要

Nutanix AOS ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている AOS のバージョンは、6.10.0.5 より前です。したがって、NXSA-AOS-6.10.0.5 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- 2.6.3 以前の libexpat で問題が発見されました。xmlparse.c の nextScaffoldPart では、32 ビット プラットフォーム (UINT_MAX が SIZE_MAX) で m_groupSize の整数オーバーフローが発生する可能性があります。(CVE-2024-45492)

- 安全でない一時ファイルを通じて権限昇格が可能になる脆弱性が GNU Nano で検出されました。編集中に Nano が強制終了された場合、実行中のユーザーの権限で緊急ファイルに保存されたファイルは、攻撃者が悪意のあるシンボリックリンクを通じて権限を昇格する機会を提供します。(CVE-2024-5742)

- Performance Co-Pilot (PCP) に脆弱性が見つかりました。この欠陥により、攻撃者が特別に細工されたデータをシステムに送信し、プログラムの誤動作またはクラッシュを引き起こす可能性があります。(CVE-2024-45769)

- Performance Co-Pilot (PCP) に脆弱性が見つかりました。この欠陥は、攻撃者が侵害された PCP システムアカウントへのアクセス権を持っている場合にのみ悪用される可能性があります。この問題は、システムにメッセージを記録するために使用される pmpost ツールに関連しています。特定の条件下では、高レベルの権限で実行されます。(CVE-2024-45770)

- ipaddress モジュールに、特定の IPv4 アドレスおよび IPv6 アドレスがグローバルに到達可能なものなのかプライベートとして指定されているものなのかについて、正しくない情報が含まれていました。これは、ipaddress.IPv4Address クラス、ipaddress.IPv4Network クラス、ipaddress.IPv6Address クラス、ipaddress.IPv6Network クラスの is_private および is_global プロパティに影響を与えており、IANA Special-Purpose Address Registries の最新情報に従って値が返されていませんでした。CPython 3.12.4 および 3.13.0a6 にはこれらのレジストリからの更新された情報が含まれており、意図したとおりに動作します。(CVE-2024-4032)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AOS ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスターを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?478d7170

プラグインの詳細

深刻度: Medium

ID: 213288

ファイル名: nutanix_NXSA-AOS-6_10_0_5.nasl

バージョン: 1.4

タイプ: local

ファミリー: Misc.

公開日: 2024/12/20

更新日: 2025/7/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-45492

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Medium

Base Score: 6.6

Threat Score: 6.6

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2024-6345

脆弱性情報

CPE: cpe:/o:nutanix:aos

必要な KB アイテム: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/12/20

脆弱性公開日: 2024/6/12

参照情報

CVE: CVE-2024-37891, CVE-2024-39689, CVE-2024-4032, CVE-2024-45490, CVE-2024-45491, CVE-2024-45492, CVE-2024-45769, CVE-2024-45770, CVE-2024-5742, CVE-2024-6232, CVE-2024-6345, CVE-2024-6923