Nutanix AOS:多个漏洞 (NXSA-AOS-6.5.5)
medium Nessus 插件 ID 187950
语言:
简介
Nutanix AOS 主机受到多个漏洞影响。描述
远程主机上安装的 AOS 版本低于 6.5.5。因此,该主机受到 NXSA-AOS-6.5.5 公告中提及的多个漏洞影响。- Apache Tomcat 中的清理不完全漏洞。与 Apache Tomcat 9.0.70 至 9.0.80 和 8.5.85 至 8.5.93 一起提供的 Commons FileUpload 的内部分支包括一个未发布的、正在进行的重构,如果 Web 应用程序打开上传文件的流但无法关闭该流,则该重构会暴露 Windows 上潜在的拒绝服务问题。该文件永远不会从磁盘中删除,从而有可能因磁盘已满而导致最终拒绝服务。建议用户升级到 9.0.81 以上或 8.5.94 以上版本,即可修复该问题。(CVE-2023-42794)
- Apache Tomcat 中存在清理不完全漏洞。当回收 Apache Tomcat 从 11.0.0-M1 到 11.0.0-M11、从 10.1.0-M1 到 10.1.13、从 9.0.0-M1 到 9.0.80 以及从 8.5.0 到 8.5.93 的各种内部对象时,错误可能会导致 Tomcat 跳过回收过程的某些部分,从而导致信息从当前请求/响应泄漏到下个部分。建议用户升级到 11.0.0-M12 以上、10.1.14 以上、9.0.81 以上或 8.5.94 以上版本,即可修复该问题。
(CVE-2023-42795)
- HTTP/2 协议允许拒绝服务(服务器资源消耗),因为取消请求即可快速重置许多流,正如在 2023 年 8 月到 2023 年 10 月期间在现实环境中利用的那样。(CVE-2023-44487)
- Apache Tomcat.Tomcat 从 11.0.0-M1 到 11.0.0-M11、从 10.1.0-M1 到 10.1.13、从 9.0.0-M1 到 9.0.81 以及从 8.5.0 到 8.5.93 的版本中存在不当输入验证漏洞,无法正确解析 HTTP trailer 标头。特制的无效 Trailer 标头可能会导致 Tomcat 将单个请求视为多个请求,从而导致在反向代理后面时可能出现请求走私的情况。建议用户升级到 11.0.0-M12 以上、10.1.14 以上、9.0.81 以上或 8.5.94 以上版本,即可修复该问题。(CVE-2023-45648)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AOS 软件更新为建议的版本。另见
插件详情
严重性: Medium
ID: 187950
文件名: nutanix_NXSA-AOS-6_5_5.nasl
版本: 1.1
类型: local
系列: Misc.
发布时间: 2024/1/11
最近更新时间: 2024/2/9
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.9
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 4.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2023-45648
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/o:nutanix:aos
必需的 KB 项: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/1/11
漏洞发布日期: 2023/10/10
CISA 已知可遭利用的漏洞到期日期: 2023/10/31
参考资料信息
CVE: CVE-2023-42794, CVE-2023-42795, CVE-2023-44487, CVE-2023-45648