偵測

AIX:多個弱點 (IJ55266)

critical Nessus Plugin ID 242257

語言:

概要

遠端 AIX 主機缺少安全性修補程式。

說明

遠端主機上安裝的 AIX 版本比 APAR IJ55266 舊。因此,會受到 IJ55266 公告中所提及的多個弱點影響。

 - 在 libxml2 中發現一個弱點。處理輸入 XML 檔案中的特定 sch:name 元素可觸發一個記憶體損毀問題。此瑕疵允許攻擊者特製可導致 libxml 損毀的惡意 XML 輸入檔案進而因記憶體中的敏感資料損毀而導致拒絕服務或其他可能的未定義行為。 (CVE-2025-49796)

 - 在 libxml2 中發現一個釋放後使用弱點。在某些情況下若 XML schematron 具有<sch:name path=.../>schema 元素。此瑕疵可允許惡意執行者特製惡意 XML 文件作為 libxml 的輸入進而導致使用 libxml 的程式損毀或其他可能的未定義行為。 (CVE-2025-49794)

 - 處理 XPath XML 運算式時在 libxml2 中發現一個 NULL 指標解除參照弱點。此瑕疵可讓攻擊者對 libxml2 製作惡意的 XML 輸入進而導致拒絕服務。
 (CVE-2025-49795)

 - 在 libxml2 的 xmlBuildQName 函式中發現一個瑕疵,其中緩衝區大小計算中的整數溢位可導致堆疊型緩衝區溢位。此問題可在處理特製輸入時導致記憶體損毀或拒絕服務。 (CVE-2025-6021)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

請依 APAR IJ55266 套用適當的過渡期修復。

另請參閱

https://www.ibm.com/support/pages/node/7239960

https://www.ibm.com/support/pages/apar/IJ55266

Plugin 詳細資訊

嚴重性: Critical

ID: 242257

檔案名稱: aix_IJ55266.nasl

版本: 1.1

類型: local

已發布: 2025/7/17

已更新: 2025/7/17

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: High

基本分數: 9.4

時間性分數: 7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:C

CVSS 評分資料來源: CVE-2025-49796

CVSS v3

風險因素: Critical

基本分數: 9.1

時間性分數: 7.9

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

必要的 KB 項目: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/7/17

弱點發布日期: 2025/6/12

參考資訊

CVE: CVE-2025-49794, CVE-2025-49795, CVE-2025-49796, CVE-2025-6021