Kritiska sårbarheter i ArubaOS
Aruba Networks rättar flera sårbarheter (CVE-2023-35980, CVE-2023-35981, CVE-2023-35982) i Aruba accesspunkter som kör InstantOS och ArubaOS 10.
Alla tre sårbarheterna (CVSS 9.8 av 10) kan utnyttjas via buffertöverskridning genom att skicka specialutformade paket till PAPI-protokollet (UDP port 8211). Detta kan leda till att en angripare kan fjärrköra kod som en priviligierad användare. [1]
Påverkade produkter
ArubaOS 10.4.x.x: 10.4.0.1 och tidigare
InstantOS 8.11.x.x: 8.11.1.0 och tidigare
InstantOS 8.10.x.x: 8.10.0.6 och tidigare
InstantOS 8.6.x.x: 8.6.0.20 och tidigare
InstantOS 6.5.x.x: 6.5.4.24 och tidigare
InstantOS 6.4.x.x: 6.4.4.8-4.2.4.21 och tidigare
Utöver ovan nämnda versioner finns det även tidigare utgivningar som är sårbara. Dessa versioner är end of life och uppdateras inte längre. För en fullständig förteckning, se Aruba Networks säkerhetsmeddelande. [1]
Rekommendationer
CERT-SE rekommenderar att snarast uppdatera sårbara produkter. För ytterligare information, se Aruba Networks säkerhetsmeddelande.
Källor
[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt