検出

Nutanix AOS 複数の脆弱性NXSA-AOS-6.10.1.9

high Nessus プラグイン ID 253515

Language:

概要

Nutanix AOS ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている AOS のバージョンは、6.10.1.9 より前です。したがって、NXSA-AOS-6.10.1.9アドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 - zlib 1.2.8 の inftrees.c により、コンテキスト依存の攻撃者が、不適切なポインター演算を利用して、詳細不明な影響を与える可能性があります。(CVE-2016-9840)

 - setuptools はユーザーが Python パッケージをダウンロード、ビルド、インストール、アップグレード、アンインストールできるパッケージです。バージョン 78.1.1 より前の setuptools に「PackageIndex」のパストラバーサルの脆弱性が見つかりました。攻撃者が、Python コードを実行しているプロセスのアクセス許可で、ファイルシステム上の任意の場所にファイルを書き込む可能性があり、コンテキストによってはリモートコード実行にエスカレートする可能性があります。バージョン 78.1.1 ではこの問題が修正されています。(CVE-2025-47273)

 - libxml2 に use-after-free の脆弱性が見つかりました。この問題は、XML スキマトロンに <sch:name path=.../> スキーマ要素が含まれる場合、特定の条件下で XPath 要素を解析する際に発生します。この欠陥により、悪意のある攻撃者は、libxml の入力として使用される悪意ある XML ドキュメントを作成でき、その結果、libxml を使用してプログラムをクラッシュさせたり、その他の未定義の動作を起こしたりする可能性があります。(CVE-2025-49794)

 - libxml2 に脆弱性が見つかりました。入力 XML ファイルから特定の sch:name 要素を処理すると、メモリ破損の問題が発生する可能性があります。この欠陥により、攻撃者が悪意のある XML 入力ファイルを作成して libxml をクラッシュさせ、機密データがメモリで破損することで、サービス拒否やその他の未定義の動作を引き起こす可能性があります。(CVE-2025-49796)

 libxml2 の xmlBuildQName 関数で欠陥が見つかりました。バッファサイズ計算の整数オーバーフローにより、スタックベースのバッファオーバーフローが発生する可能性があります。この問題により、細工された入力を処理する際にメモリ破損やサービス拒否が発生する可能性があります。(CVE-2025-6021)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AOS ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスターを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?33994f60

プラグインの詳細

深刻度: High

ID: 253515

ファイル名: nutanix_NXSA-AOS-6_10_1_9.nasl

バージョン: 1.1

タイプ: local

ファミリー: Misc.

公開日: 2025/8/21

更新日: 2025/8/21

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2016-9840

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2025-47273

CVSS v4

リスクファクター: High

Base Score: 8.7

Threat Score: 7.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2025-47273

脆弱性情報

CPE: cpe:/o:nutanix:aos

必要な KB アイテム: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/8/21

脆弱性公開日: 2016/12/4

参照情報

CVE: CVE-2016-9840, CVE-2023-40403, CVE-2024-12243, CVE-2025-3576, CVE-2025-47273, CVE-2025-4802, CVE-2025-49794, CVE-2025-49796, CVE-2025-6020, CVE-2025-6021