Nutanix AHV 多个漏洞 (NXSA-AHV-10.3.1.3)
high Nessus 插件 ID 299385
语言:
简介
Nutanix AHV 主机受到多个漏洞影响。描述
远程主机上安装的 AHV 版本低于 AHV-10.3.1.3。因此如公告 NXSA-AHV-10.3.1.3 所述受到多个漏洞的影响。- 在低于 3.0的OpenSSL 版本构建的 libssh 中发现一个缺陷尤其是在负责密钥导出的 ssh_kdf() 函数中。由于对返回值的不一致解释OpenSSL 使用 0 表示失败而 libssh 使用 0 表示成功此函数可能会错误地返回成功状态即使密钥派生失败。如此会导致在后续通信中使用未初始化的加密密钥缓冲区从而可能危害 SSH 会话的机密性、完整性和可用性。 (CVE-2025-5372)
- 当与 LUKS1 磁盘加密格式配合使用时在 luksmeta 实用工具中发现数据损坏漏洞。具有必要权限的攻击者可通过将大量元数据写入加密设备以利用此缺陷。实用工具无法正确验证可用空间从而导致元数据覆盖和损坏用户的加密数据。此操作会导致存储的信息永久丢失。使用 LUKS1 以外的 LUKS 格式的设备不受此问题的影响。 (CVE-2025-11568)
- 2.7.2 之前的 Expat 中的 libexpat 允许攻击者通过提交用于解析的小文档来触发大型动态内存分配。 (CVE-2025-59375)
- 在某些情况下BIND 在接受来自答案的记录时过于宽松允许攻击者将伪造的数据注入缓存。此问题会影响 BIND 9 版本 9.11.0 至 9.16.50、 9.18.0 至 9.18.39、 9.20.0 至 9.20.13、 9.21.0 至 9.21.12、9.11.3-S1 至 9.16.50-S1、9.18.11-S1 至 9.18。 39-S1 以及 9.20.9-S1 至 9.20.13-S1。 (CVE-2025-40778)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Nutanix AHV 软件更新为建议的版本。升级之前:如果此群集已在 Prism Central 注册,请确保 Prism Central 已升级到兼容版本。请参阅 Nutanix 门户上的软件产品互操作性页面。另见
插件详情
严重性: High
ID: 299385
文件名: nutanix_NXSA-AHV-10_3_1_3.nasl
版本: 1.1
类型: local
系列: Misc.
发布时间: 2026/2/18
最近更新时间: 2026/2/18
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.1
CVSS v2
风险因素: High
基本分数: 9
时间分数: 7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-5372
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.9
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 7.6
Threat Score: 6.8
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N
漏洞信息
CPE: cpe:/o:nutanix:ahv
必需的 KB 项: Host/Nutanix/Data/Node/Version, Host/Nutanix/Data/Node/Type
可利用: true
易利用性: Exploits are available
补丁发布日期: 2026/2/18
漏洞发布日期: 2025/6/10
参考资料信息
CVE: CVE-2025-11568, CVE-2025-40778, CVE-2025-5372, CVE-2025-59375