运行AOS-8和AOS-10的Aruba接入点需要紧急打补丁,因为HPE为其网络子公司接入点中的三个关键漏洞发布了修复程序。
这些问题将允许未经身份验证的攻击者通过向UDP端口8211发送精心构造的数据包来在Aruba系统上执行代码。该端口是操作系统专有的访问协议接口(PAPI),这将为恶意人员提供对设备的特权访问。
这三个漏洞——CVE-2024-42505、CVE-2024-42506 和 CVE-2024-42507——在CVSS严重性评分中均被评为9.8(满分10分)。
这些漏洞影响AOS 10.6.x.x版本(包括10.6.0.2及之前版本)以及Instant AOS 8.12.x.x版本(8.12.0.1及更早版本)。HPE还警告说,已经停止支持的代码,包括AOS 10.5和10.3,以及Instant AOS-8.11及其之前的版本也受到影响,并建议升级这些系统以获得保护。
“通过启用cluster-security命令可以防止运行Instant AOS-8.x代码的设备被利用这些漏洞。”HPE在其安全警报中建议。“对于AOS-10设备来说,这不是一个选项,而应该从所有不受信任的网络中阻止对UDP端口8211的访问。”这不是PAPI今年首次被发现存在严重问题。早在五月份,Aruba就在公开的概念验证利用代码发布后修复了系统中的四个关键漏洞,并在不到一周后又发布了更多补丁。
这些补丁对于美国军方内的系统管理员尤为关切。早在2020年,Aruba就因成为五角大楼的首选供应商而取得重大胜利,当时军方与思科关系破裂并开始更换其设备。
HPE感谢Erik de Jong发现了这些漏洞,他是一名兼职漏洞研究员,日常工作是荷兰电信公司DELTA Fiber的安全官员。这些漏洞是通过Bugcrowd提交的,他表示自己的业余爱好帮助他还清了一部分房贷。
在发布时,HPE表示尚未发现有任何迹象表明这些问题已在野外被利用。然而,随着补丁的发布,鉴于问题的严重性,这种情况可能会发生变化。®
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容