検出

AIX : 複数の脆弱性 (IJ55266)

critical Nessus プラグイン ID 242257

Language:

概要

リモートの AIX ホストにセキュリティパッチがありません。

説明

リモートホストにインストールされている AIX のバージョンは、APAR IJ55266 より前です。したがって、IJ55266 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - libxml2 に脆弱性が見つかりました。入力 XML ファイルから特定の sch:name 要素を処理すると、メモリ破損の問題が発生する可能性があります。この欠陥により、攻撃者が悪意のある XML 入力ファイルを作成して libxml をクラッシュさせ、機密データがメモリで破損することでサービス拒否やその他の未定義の動作を引き起こす可能性があります。CVE-2025-49796

 - libxml2 で use-after-free の脆弱性が見つかりました。この問題は、XML スキーマロンに<sch:name path=.../>スキーマ要素に関連するベクトルを通じて、可用性に影響を与えることが可能です。この欠陥により、悪意のあるユーザーは、libxml に対する入力として使用される悪意ある XML ドキュメントを作成することができ、その結果、libxml を使用してプログラムをクラッシュさせることや、その他の未定義の動作を起こす可能性があります。CVE-2025-49794

 - XPath XML 式を処理する際に、libxml2 に NULL ポインターデリファレンスの脆弱性が見つかりました。この欠陥により、攻撃者が libxml2 に対する悪意ある XML 入力を作成し、サービス拒否を引き起こす可能性があります。
 (CVE-2025-49795)

 libxml2 の xmlBuildQName 関数で欠陥が見つかりました。バッファサイズ計算の整数オーバーフローにより、スタックベースのバッファオーバーフローが発生する可能性があります。この問題により、細工された入力を処理する際にメモリ破損やサービス拒否が発生する可能性があります。(CVE-2025-6021)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

APAR IJ55266 に従って適切な暫定修正を適用してください。

参考資料

https://www.ibm.com/support/pages/node/7239960

https://www.ibm.com/support/pages/apar/IJ55266

プラグインの詳細

深刻度: Critical

ID: 242257

ファイル名: aix_IJ55266.nasl

バージョン: 1.1

タイプ: local

ファミリー: AIX Local Security Checks

公開日: 2025/7/17

更新日: 2025/7/17

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:C

CVSS スコアのソース: CVE-2025-49796

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

必要な KB アイテム: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/7/17

脆弱性公開日: 2025/6/12

参照情報

CVE: CVE-2025-49794, CVE-2025-49795, CVE-2025-49796, CVE-2025-6021