Nutanix AOS:多个漏洞 (NXSA-AOS-6.0)
medium Nessus 插件 ID 164597
语言:
简介
Nutanix AOS 主机受到多个漏洞影响。描述
远程主机上安装的 AOS 版本低于 6.0。因此,该主机受到 NXSA-AOS-6.0 公告中提及的多个漏洞影响。- 远程攻击者可利用 GNU Screen 4.8.0 及之前版本中的 encoding.c,通过构建的 UTF-8 字符序列,造成拒绝服务(写入访问无效和应用程序崩溃)或其他不明影响。(CVE-2021-26937)
- 使用推测执行和间接分支预测的微处理器所在的系统在未经授权的情况下,可通过边信道分析,向具有本地用户访问权限的攻击者泄露信息。
(CVE-2017-5715)
- 使用推测执行和分支预测的微处理器所在的系统在未经授权的情况下,可通过边信道分析,向具有本地用户访问权限的攻击者泄露信息。
(CVE-2017-5753)
- 使用推测执行和间接分支预测的微处理器所在的系统在未经授权的情况下,可通过数据缓存的边信道分析,向具有本地用户访问权限的攻击者泄露信息。(CVE-2017-5754)
- Oracle Java SE 的 Java SE、Java SE Embedded、Oracle GraalVM Enterprise Edition 产品中的漏洞(组件:Libraries)。支持的版本中受影响的是 Java SE:7u291、8u281、11.0.10、16;
Java SE Embedded:8u281;Oracle GraalVM Enterprise Edition:19.3.5、20.3.1.2 和 21.0.0.2。攻击此漏洞具有一定难度,可通过多种协议访问网络的未经身份验证的攻击者可利用此漏洞危害 Java SE、Java SE Embedded、Oracle GraalVM 企业版。除攻击者以外的他人进行交互是实现成功攻击的必要条件。若攻击成功,攻击者可在未经授权的情况下创建、删除或修改关键数据或所有 Java SE、Java SE Embedded、Oracle GraalVM 企业版可访问的数据。注意:此漏洞适用于需加载并运行不可信代码(如来自互联网的代码)且安全性依赖于 Java 沙盒的 Java 部署。(CVE-2021-2163)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AOS 软件更新为建议的版本。升级之前:如果此群集已在 Prism Central 注册,请确保 Prism Central 已升级到兼容版本。请参阅 Nutanix 门户上的软件产品互操作性页面。另见
插件详情
严重性: Medium
ID: 164597
文件名: nutanix_NXSA-AOS-6_0.nasl
版本: 1.23
类型: local
系列: Misc.
发布时间: 2022/9/1
最近更新时间: 2025/2/17
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2021-26937
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 9.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:H/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 4.8
Threat Score: 4.8
Threat Vector: CVSS:4.0/E:A
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2020-15862
漏洞信息
CPE: cpe:/o:nutanix:aos
必需的 KB 项: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/10/29
漏洞发布日期: 2018/1/3
CISA 已知可遭利用的漏洞到期日期: 2022/4/27
可利用的方式
CANVAS (CANVAS)
Core Impact
Metasploit (Sudo Heap-Based Buffer Overflow)
参考资料信息
CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754, CVE-2019-19532, CVE-2019-25013, CVE-2020-0427, CVE-2020-10029, CVE-2020-10543, CVE-2020-10878, CVE-2020-12723, CVE-2020-14351, CVE-2020-15436, CVE-2020-15862, CVE-2020-25211, CVE-2020-25645, CVE-2020-25656, CVE-2020-25705, CVE-2020-28374, CVE-2020-29573, CVE-2020-29661, CVE-2020-35513, CVE-2020-7053, CVE-2020-8625, CVE-2021-20265, CVE-2021-20305, CVE-2021-2161, CVE-2021-2163, CVE-2021-25122, CVE-2021-25215, CVE-2021-25329, CVE-2021-26937, CVE-2021-27363, CVE-2021-27364, CVE-2021-27365, CVE-2021-3156