検出

Nutanix AOS : 複数の脆弱性 (NXSA-AOS-6.8.1.6)

high Nessus プラグイン ID 213539

Language:

概要

Nutanix AOS ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている AOS のバージョンは、6.8.1.6 より前です。したがって、NXSA-AOS-6.8.1.6 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - 2.6.3 以前の libexpat で問題が発見されました。xmlparse.c の nextScaffoldPart では、32 ビット プラットフォーム (UINT_MAX が SIZE_MAX) で m_groupSize の整数オーバーフローが発生する可能性があります。(CVE-2024-45492)

 - libndp に脆弱性が見つかりました。この欠陥により、悪意のあるローカルユーザーが無効な形式の IPv6 ルーター広告パケットを送信することで、NetworkManager でバッファオーバーフローを引き起こす可能性があります。この問題は、libndp がルートの長さの情報を正しく検証していないために発生しました。(CVE-2024-5564)

 - 安全でない一時ファイルを通じて権限昇格が可能になる脆弱性が GNU Nano で検出されました。編集中に Nano が強制終了された場合、実行中のユーザーの権限で緊急ファイルに保存されたファイルは、攻撃者が悪意のあるシンボリックリンクを通じて権限を昇格する機会を提供します。(CVE-2024-5742)

 - Performance Co-Pilot (PCP) に脆弱性が見つかりました。この欠陥により、攻撃者が特別に細工されたデータをシステムに送信し、プログラムの誤動作またはクラッシュを引き起こす可能性があります。(CVE-2024-45769)

 - Performance Co-Pilot (PCP) に脆弱性が見つかりました。この欠陥は、攻撃者が侵害された PCP システムアカウントへのアクセス権を持っている場合にのみ悪用される可能性があります。この問題は、システムにメッセージを記録するために使用される pmpost ツールに関連しています。特定の条件下では、高レベルの権限で実行されます。(CVE-2024-45770)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AOS ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスターを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?54987f6b

プラグインの詳細

深刻度: High

ID: 213539

ファイル名: nutanix_NXSA-AOS-6_8_1_6.nasl

バージョン: 1.4

タイプ: local

ファミリー: Misc.

公開日: 2025/1/7

更新日: 2025/7/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-45492

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 7.5

Threat Score: 6.6

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2024-6345

脆弱性情報

CPE: cpe:/o:nutanix:aos

必要な KB アイテム: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/1/7

脆弱性公開日: 2024/5/31

参照情報

CVE: CVE-2024-37891, CVE-2024-39689, CVE-2024-4032, CVE-2024-45490, CVE-2024-45491, CVE-2024-45492, CVE-2024-45769, CVE-2024-45770, CVE-2024-5564, CVE-2024-5742, CVE-2024-6232, CVE-2024-6345, CVE-2024-6923