検出

Nutanix AOS : 複数の脆弱性 (NXSA-AOS-6.10.1.10)

high Nessus プラグイン ID 271420

Language:

概要

Nutanix AOS ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている AOS のバージョンは、6.10.1.10 より前です。したがって、NXSA-AOS-6.10.1.10 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - 3.50.2 より前のバージョンの SQLite に脆弱性が存在し、集計期間の数が利用可能な列の数を超える可能性があります。これにより、メモリ破損が生じることがあります。バージョン 3.50.2 以降にアップグレードすることをお勧めします。(CVE-2025-6965)

 - Requests は HTTP ライブラリです。URL 解析の問題が原因で、2.32.4 より前の Requests リリースにより、特定の悪意を持って細工された URL の .netrc 認証情報をサードパーティに漏洩する可能性があります。ユーザーはバージョン 2.32.4 にアップグレードして、修正を受け取る必要があります。Requests の古いバージョンでは、.netrc ファイルの使用を、Requests セッションの「trust_env=False」で無効にできます。(CVE-2024-47081)

 - GNU C ライブラリバージョン 2.4 から 2.41 の regcomp 関数は、前の割り当てが失敗した場合、二重解放となる可能性があります。これは、malloc の失敗により、またはランダムな malloc の失敗を注入する挿入 malloc を使用することで達成できます。二重解放により、正規表現の構築方法によっては、バッファ操作が可能になる可能性があります。この問題は、GNU C ライブラリでサポートされるすべてのアーキテクチャと ABI に影響します。
 (CVE-2025-8058)

 Perl スレッドには、ファイル操作が意図しないパスをターゲットにする可能性がある作業ディレクトリの競合があります。スレッド作成時にディレクトリハンドルが開かれている場合、新しいスレッドのハンドルを複製するために、プロセス全体の現在の作業ディレクトリが一時的に変更されます。これは、すでに実行中の 3 番目以降のスレッドから閲覧可能です。これにより、コードの読み込みや予期しない場所からのファイルへのアクセスなど、意図しない操作が発生する可能性があり、ローカルの攻撃者がこれを悪用する可能性があります。このバグは、コミット 11a11ecf4bea72b17d250cfb43c897be1341861e で導入され、Perl バージョン 5.13.6 でリリースされました (CVE-2025-40909)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AOS ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスターを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?999e9321

プラグインの詳細

深刻度: High

ID: 271420

ファイル名: nutanix_NXSA-AOS-6_10_1_10.nasl

バージョン: 1.1

タイプ: local

ファミリー: Misc.

公開日: 2025/10/24

更新日: 2025/10/24

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.2

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-6965

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 7.2

Threat Score: 4.3

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:L/VI:H/VA:L/SC:L/SI:H/SA:L

脆弱性情報

CPE: cpe:/o:nutanix:aos

必要な KB アイテム: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/10/24

脆弱性公開日: 2025/3/11

参照情報

CVE: CVE-2024-47081, CVE-2025-40909, CVE-2025-6965, CVE-2025-8058