Nutanix AOS:多个漏洞 (NXSA-AOS-6.10.1.5)
low Nessus 插件 ID 233564
语言:
简介
Nutanix AOS 主机受到多个漏洞影响。描述
远程主机上安装的 AOS 版本低于 6.10.1.5。因此,该主机受到 NXSA-AOS-6.10.1.5 公告中提及的多个漏洞影响。- 低于 20.26.6 的 virtualenv 允许通过虚拟环境的激活脚本进行命令注入。替换时未正确引用 Magic 模板字符串。注意:此项与 CVE-2024-9287 不同。(CVE-2024-53899)
- DHCP 可以通过无类静态路由选项 (121) 将路由添加到客户端的路由表。依赖路由重定向流量的 VPN 类安全解决方案可能会强制通过物理接口泄漏流量。同一本地网络上的攻击者可以读取、中断或者可能修改预期受 VPN 保护的网络流量。(CVE-2024-3661)
- 在 PAM 中发现一个漏洞。机密信息存储在内存中,攻击者可通过将字符发送到受害者程序的标准输入 (stdin) 来触发受害者程序执行。发生这种情况时,攻击者可以训练分支预测器以推测性的方式执行 ROP 链。此漏洞可能导致密码泄露,例如在执行身份验证时泄露 /etc/shadow 文件中的密码。(CVE-2024-10041)
- 在 pam_access 中发现一个缺陷,其配置文件中的某些规则被错误地视为主机名。此漏洞允许攻击者通过伪装成受信任的主机名来欺骗系统,从而获取未经授权的访问权限。此问题会对依赖此功能来控制特定服务或终端访问权限的系统造成风险。(CVE-2024-10963)
- 在 rsync 中发现一个缺陷,当 rsync 比较文件校验和时可触发此缺陷。此缺陷允许攻击者操控校验和长度 (s2length),造成程序比较校验和与未初始化的内存,并且每次泄漏一个字节的未初始化堆栈数据。(CVE-2024-12085)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AOS 软件更新为建议的版本。升级之前:如果此群集已在 Prism Central 注册,请确保 Prism Central 已升级到兼容版本。请参阅 Nutanix 门户上的软件产品互操作性页面。另见
插件详情
严重性: Low
ID: 233564
文件名: nutanix_NXSA-AOS-6_10_1_5.nasl
版本: 1.1
类型: local
系列: Misc.
发布时间: 2025/3/31
最近更新时间: 2025/3/31
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.1
CVSS v2
风险因素: High
基本分数: 7.3
时间分数: 6
矢量: CVSS2#AV:A/AC:L/Au:N/C:C/I:P/A:P
CVSS 分数来源: CVE-2024-3661
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 7.2
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS 分数来源: CVE-2024-53899
CVSS v4
风险因素: Low
Base Score: 2.1
Threat Score: 1.2
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:A/AC:H/AT:P/PR:N/UI:P/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
漏洞信息
CPE: cpe:/o:nutanix:aos
必需的 KB 项: Host/Nutanix/Data/lts, Host/Nutanix/Data/Service, Host/Nutanix/Data/Version, Host/Nutanix/Data/arch
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/3/31
漏洞发布日期: 2024/5/6
参考资料信息
CVE: CVE-2024-10041, CVE-2024-10963, CVE-2024-12085, CVE-2024-35195, CVE-2024-3661, CVE-2024-47175, CVE-2024-53899