Nutanix AOS:多个漏洞 (NXSA-AOS-6.8.1.6)
medium Nessus 插件 ID 213539
语言:
简介
Nutanix AOS 主机受到多个漏洞影响。描述
远程主机上安装的 AOS 版本低于 6.8.1.6。因此,该系统受到 NXSA-AOS-6.8.1.6 公告中提及的多个漏洞影响。- 在低于 2.6.3 的 libexpat 中发现一个问题。xmlparse.c 中的 nextScaffoldPart 可能存在针对 32 位平台上 m_groupSize 的整数溢出(其中 UINT_MAX 等于 SIZE_MAX)。(CVE-2024-45492)
- 在 libndp 中发现了一个漏洞。此缺陷允许本地恶意用户在 NetworkManager 中造成缓冲区溢出,可通过发送畸形 IPv6 路由器公告数据包来触发。发生此问题的原因是 libndp 未正确验证路由长度信息。(CVE-2024-5564)
- 发现 GNU Nano 中的漏洞允许通过不安全的临时文件进行可能的权限升级。如果在编辑时将 Nano 终止,使用运行中的用户的权限保存为紧急文件的文件将为攻击者提供一个通过恶意符号链接升级特权的机会窗口。(CVE-2024-5742)
- 在 Performance Co-Pilot (PCP) 中发现一个漏洞。此缺陷允许攻击者将特制的数据发送至系统,进而可造成程序行为不当或崩溃。(CVE-2024-45769)
- 在 Performance Co-Pilot (PCP) 中发现一个漏洞。只有在攻击者能够访问遭到破坏的 PCP 系统帐户时,才能利用此缺陷。该问题与用于记录系统中消息的 pmpost 工具有关。在某些情况下,它会以高级别权限运行。(CVE-2024-45770)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AOS 软件更新为建议的版本。升级之前:如果此群集已在 Prism Central 注册,请确保 Prism Central 已升级到兼容版本。请参阅 Nutanix 门户上的软件产品互操作性页面。另见
插件详情
严重性: Medium
ID: 213539
文件名: nutanix_NXSA-AOS-6_8_1_6.nasl
版本: 1.4
类型: local
系列: Misc.
发布时间: 2025/1/7
最近更新时间: 2025/7/22
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-45492
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 6.6
Threat Score: 6.6
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2024-6345
漏洞信息
CPE: cpe:/o:nutanix:aos
必需的 KB 项: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/1/7
漏洞发布日期: 2024/5/31
参考资料信息
CVE: CVE-2024-37891, CVE-2024-39689, CVE-2024-4032, CVE-2024-45490, CVE-2024-45491, CVE-2024-45492, CVE-2024-45769, CVE-2024-45770, CVE-2024-5564, CVE-2024-5742, CVE-2024-6232, CVE-2024-6345, CVE-2024-6923