Nutanix AHV:複数の脆弱性(NXSA-AHV-10.0.1.7)

high Nessus プラグイン ID 299021

概要

Nutanix AHV ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている AHV は、 10.0.1.7 / AHV-10.0.1.7 より前のバージョンです。したがって、NXSA-AHV-10.0.1.7のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- 3.0 より古いバージョンの OpenSSL で構築された libssh のバージョンで、特に鍵の派生を担当する ssh_kdf() 関数に欠陥が見つかりました。OpenSSLが失敗を示すために0を使用し、成功に対してlibsshが0を使用する戻り値の解釈が一貫していないため、キー派生が失敗しても、関数が誤って成功ステータスを返す可能性があります。その結果、初期化されていない暗号化キーバッファがその後の通信に使用され、SSHセッションの機密性、整合性、可用性が侵害される可能性があります。(CVE-2025-5372)

- LUKS1 ディスク暗号化フォーマットで使用された場合の luksmeta ユーティリティに、データ破損の脆弱性が特定されています。必要な権限を持つ攻撃者が、暗号化されたデバイスに大量のメタデータを書き込むことにより、この欠陥を悪用する可能性があります。ユーティリティは、使用可能な領域を正しく検証できません。これにより、メタデータがメタデータに上書きされ、ユーザーの暗号化されたデータが破損します。このアクションにより、保存されていた情報が永久に失われます。LUKS1以外のLUKS形式を使用するデバイスは、この問題の影響を受けません。(CVE-2025-11568)

- 2.7.2 より前の Expat の libexpat により、攻撃者が、解析のために送信される小さなドキュメントから、大きな動的メモリ割り当てをトリガできます。(CVE-2025-59375)

- 特定の状況下では、応答からレコードを受け入れる際の BIND の緩度が強すぎるため、攻撃者が偽造データをキャッシュに注入する可能性があります。この問題は、バージョン 9.11.0 から 9.16.50、 9.18.0 から 9.18.39、 9.20.0 から 9.20.13、 9.21.0 から 9.21.12、9.11.3-S1から9.16.50-S1、9.18.11-S1から9.18.39-S1、9.20.9-S1から9.20.13-S1に影響します。(CVE-2025-40778)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AHV ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスタを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?8a93afba

プラグインの詳細

深刻度: High

ID: 299021

ファイル名: nutanix_NXSA-AHV-10_0_1_7.nasl

バージョン: 1.2

タイプ: Local

ファミリー: Misc.

公開日: 2026/2/13

更新日: 2026/7/15

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.1

パーセンタイル: 96.85

CVSS v2

リスクファクター: High

基本値: 9

現状値: 7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-5372

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 7.6

Threat Score: 6.8

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N

脆弱性情報

CPE: cpe:/o:nutanix:ahv

必要な KB アイテム: Host/Nutanix/Data/Node/Version, Host/Nutanix/Data/Node/Type

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/2/13

脆弱性公開日: 2025/6/10

参照情報

CVE: CVE-2025-11568, CVE-2025-40778, CVE-2025-5372, CVE-2025-59375