Nutanix AOS : 多個弱點 (NXSA-AOS-6.8.1.6)
high Nessus Plugin ID 213539
語言:
概要
Nutanix AOS 主機受到多個弱點影響。說明
遠端主機上安裝的 AOS 版本低於 6.8.1.6。因此,它受到 NXSA-AOS-6.8.1.6 公告中所提及的多個弱點影響。- 在 2.6.3之前的 libexpat 中發現一個問題。xmlparse.c 中的 nextScaffoldPart 可使 32 位元平台上的 m_groupSize 發生整數溢位 (其中 UINT_MAX 等於 SIZE_MAX)。(CVE-2024-45492)
- 在 libndp 中發現一個弱點。本機惡意使用者可利用此弱點在 NetworkManager 中造成緩衝區溢位,藉由傳送格式錯誤的 IPv6 路由器廣告封包可以觸發此弱點。產生此問題的原因是,libndp 未正確驗證路由長度資訊。(CVE-2024-5564)
- 在 GNU Nano 中發現存在有弱點可允許透過不安全的暫存檔進行可能的特權提升。如果 nano 在編輯時遭到終止,其以執行使用者的權限儲存至緊急檔案的檔案,會為攻擊者提供透過惡意符號連結提升特權的機會。(CVE-2024-5742)
- 在 Performance Co-Pilot (PCP) 中發現一個弱點。此瑕疵允許攻擊者將特製的資料傳送至系統,進而造成程式運作不當或損毀。(CVE-2024-45769)
- 在 Performance Co-Pilot (PCP) 中發現一個弱點。該弱點只有在攻擊者取得遭入侵的 PCP 系統帳戶存取權時,才能加以惡意利用。此問題與系統中用於記錄訊息的 pmpost 工具有關。在某些情況下,它會以高階權限執行。(CVE-2024-45770)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
將 Nutanix AOS 軟體更新至建議的版本。升級前:如果此叢集已使用 Prism Central 註冊,請確認已先將 Prism Central 升級至相容版本。請參閱 Nutanix 入口網站上的「軟體產品互通性」頁面。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 213539
檔案名稱: nutanix_NXSA-AOS-6_8_1_6.nasl
版本: 1.4
類型: local
系列: Misc.
已發布: 2025/1/7
已更新: 2025/7/22
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2024-45492
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
風險因素: High
Base Score: 7.5
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS 評分資料來源: CVE-2024-6345
弱點資訊
CPE: cpe:/o:nutanix:aos
必要的 KB 項目: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2025/1/7
弱點發布日期: 2024/5/31
參考資訊
CVE: CVE-2024-37891, CVE-2024-39689, CVE-2024-4032, CVE-2024-45490, CVE-2024-45491, CVE-2024-45492, CVE-2024-45769, CVE-2024-45770, CVE-2024-5564, CVE-2024-5742, CVE-2024-6232, CVE-2024-6345, CVE-2024-6923