AIX : 複数の脆弱性 (IJ58122)

high Nessus プラグイン ID 318321

Language:

概要

リモートの AIX ホストにセキュリティパッチがありません。

説明

リモートホストにインストールされている AIX のバージョンは、APAR IJ58122 より前です。したがって、IJ58122 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- libxml2 に欠陥が見つかりました。この脆弱性は、内部エンティティ参照を含む特別に細工された XML スキーマ定義(XSD)検証済みドキュメントをライブラリが処理する場合に発生します。攻撃者が、悪意のあるドキュメントを提供することでこれを悪用し、型の取り違え(Type Confusion)エラーを引き起こし、アプリケーションをクラッシュさせる可能性があります。これによりサービス拒否(DoS)が引き起こされ、影響を受けるシステムまたはアプリケーションが使用できなくなります。(CVE-2026-6732)

- libxml2 の RelaxNG パーサーで、外部スキーマインクルージョンの処理方法に関連する欠陥が特定されました。パーサーは、ネスト化された <include> ディレクティブを解決するとき、包含の深さに制限を強制しません。特別に細工されたスキーマまたは過度に複雑なスキーマにより、解析中に過剰な再帰が発生する可能性があります。これにより、スタックの枯渇とアプリケーションのクラッシュが発生し、サービス拒否のリスクが生じる可能性があります。(CVE-2026-0989)

- XML 解析ライブラリである libxml2 に、欠陥が見つかりました。この制御されない再帰の脆弱性は、XML カタログがそれ自体を参照するデリゲート URI エントリを含んでいるときに、xmlCatalogXMLResolveURI 関数で発生します。リモートの攻撃者が、特別に細工された XML カタログを提供することで、この構成依存の問題を悪用し、無限再帰と呼び出しスタックの枯渇を引き起こす可能性があります。これにより、影響を受けるアプリケーションをクラッシュさせることでサービス拒否(DoS)を引き起こすセグメンテーション違反が最終的に発生します。(CVE-2026-0990)

- libxml2 ライブラリに欠陥が見つかりました。この制御されないリソース消費の脆弱性は、同じ下流カタログを指し示す繰り返された <nextCatalog> 要素を含む XML カタログを処理するときに発生します。リモートの攻撃者が細工されたカタログを指定することでこれを悪用し、パーサーにカタログチェーンを冗長にトラバーサルさせる可能性があります。これにより、CPU が過剰に消費され、アプリケーションの可用性が低下し、サービス拒否状態が発生します。(CVE-2026-0992)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。