检测

AIX:多个漏洞 (IJ55266)

critical Nessus 插件 ID 242257

语言:

简介

远程 AIX 主机缺少安全修补程序。

描述

远程主机上安装的 AIX 版本低于 APAR IJ55266。因此,该软件受到 IJ55266 公告中提及的多个漏洞影响。

 - 在 libxml2 中发现一个漏洞。处理输入 XML 文件中的某些 sch:name 元素会触发内存损坏问题。此缺陷允许攻击者构建可导致 libxml 崩溃的恶意 XML 输入文件从而导致拒绝服务或其他可能因内存中损坏的敏感数据而导致的未定义行为。 (CVE-2025-49796)

 - 在 libxml2 中发现一个释放后使用漏洞。当 XML schematron 有<sch:name path=.../>方案元素。此缺陷允许恶意执行者构建用作 libxml 输入的恶意 XML 文档从而导致使用 libxml 的程序崩溃或其他可能的未定义行为。 (CVE-2025-49794)

 - 处理 XPath XML 表达式时在 libxml2 中发现一个空指针取消引用漏洞。此缺陷允许攻击者将恶意 XML 输入构建为 libxml2 从而导致拒绝服务。
 (CVE-2025-49795)

 - 在 libxml2 的 xmlBuildQName 函数中发现一个缺陷,其中缓冲区大小计算中的整数溢出问题可导致基于堆栈的缓冲区溢出。在处理构建的输入时,此问题可导致内存损坏或拒绝服务。(CVE-2025-6021)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

请根据 APAR IJ55266 应用适当的临时补丁。

另见

https://www.ibm.com/support/pages/node/7239960

https://www.ibm.com/support/pages/apar/IJ55266

插件详情

严重性: Critical

ID: 242257

文件名: aix_IJ55266.nasl

版本: 1.1

类型: local

发布时间: 2025/7/17

最近更新时间: 2025/7/17

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: High

基本分数: 9.4

时间分数: 7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:C

CVSS 分数来源: CVE-2025-49796

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

必需的 KB 项: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp

易利用性: No known exploits are available

补丁发布日期: 2025/7/17

漏洞发布日期: 2025/6/12

参考资料信息

CVE: CVE-2025-49794, CVE-2025-49795, CVE-2025-49796, CVE-2025-6021