Nutanix AOS : 複数の脆弱性 (NXSA-AOS-7.5.1.8)

critical Nessus プラグイン ID 321809

概要

Nutanix AOS ホストは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている AOS のバージョンは、7.5.1.8 より前です。したがって、NXSA-AOS-7.5.1.8 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- GLib (Gnome Lib) で欠陥が見つかりました。この脆弱性により、リモートの攻撃者がヒープ破損を引き起こし、悪意のある細工された入力文字列を処理する際に GVariant パーサーでのバッファアンダーフローを介して、サービス拒否またはコード実行を引き起こす可能性があります。(CVE-2025-14087)

- 1.22.3 より前の MIT Kerberos 5 (別名 krb5) では、アプリケーションが /etc/gss/mech に登録されている NegoEx メカニズムを備えたシステム上で gss_accept_sec_context() を呼び出すと、NULL ポインターデリファレンスが発生します。認証されていないリモートの攻撃者がこれをトリガーし、parse_nego_message でプロセスを終了させる可能性があります。
(CVE-2026-40355)

- 1.22.3 より前の MIT Kerberos 5 (別名 krb5) では、アプリケーションが /etc/gss/mech に登録されている NegoEx メカニズムを備えたシステム上で gss_accept_sec_context() を呼び出すと、整数アンダーフローが発生し、その結果として領域外読み取りが生じます。認証されていないリモートの攻撃者がこれをトリガーし、parse_message でプロセスを終了させる可能性があります。(CVE-2026-40356)

- 3.4.1 までの rsync 3.0.1では、receive_xattr が qsort 呼び出し中に信頼できない長さの値に依存しているため、受信者に use-after-free が発生します。被害者は rsync を -X (別名 --xattrs) で実行する必要があります。Linux では、多くの (すべてではない) 一般的な設定が脆弱です。Linux 以外のプラットフォームは、より広範囲で脆弱です。
(CVE-2026-41035)

- glib で欠陥が見つかりました。この脆弱性により、悪意のあるファイルまたはリモートファイルシステムの属性値を処理する際に、GLib の GIO (GLib 入出力) escape_byte_string() 関数における整数オーバーフローによって、ヒープバッファオーバーフローおよびサービス拒否 (DoS) を引き起こす可能性があります。(CVE-2025-14512)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Nutanix AOS ソフトウェアを推奨バージョンに更新してください。アップグレードの前に: このクラスターを Prism Central に登録する場合は、まず Prism Central を互換性のあるバージョンにアップグレードしてください。Nutanix ポータルのソフトウェア製品の相互運用性ページを参照してください。

参考資料

http://www.nessus.org/u?e5329f24

プラグインの詳細

深刻度: Critical

ID: 321809

ファイル名: nutanix_NXSA-AOS-7_5_1_8.nasl

バージョン: 1.1

タイプ: Local

ファミリー: Misc.

公開日: 2026/6/21

更新日: 2026/6/21

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.6

パーセンタイル: 98.46

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-14087

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: Critical

Base Score: 9.1

Threat Score: 8.1

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

CVSS スコアのソース: CVE-2026-6100

脆弱性情報

CPE: cpe:/o:nutanix:aos

必要な KB アイテム: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/19

脆弱性公開日: 2025/9/10

参照情報

CVE: CVE-2025-14087, CVE-2025-14512, CVE-2025-9714, CVE-2026-22007, CVE-2026-22013, CVE-2026-22016, CVE-2026-22018, CVE-2026-22021, CVE-2026-23865, CVE-2026-34268, CVE-2026-34282, CVE-2026-34982, CVE-2026-35385, CVE-2026-35386, CVE-2026-35387, CVE-2026-35388, CVE-2026-35414, CVE-2026-35535, CVE-2026-40355, CVE-2026-40356, CVE-2026-41035, CVE-2026-4786, CVE-2026-4878, CVE-2026-6100