Kritiska sårbarheter i ArubaOS

Aruba Networks rättar flera sårbarheter (CVE-2023-35980, CVE-2023-35981, CVE-2023-35982) i Aruba accesspunkter som kör InstantOS och ArubaOS 10.

Alla tre sårbarheterna (CVSS 9.8 av 10) kan utnyttjas via buffertöverskridning genom att skicka specialutformade paket till PAPI-protokollet (UDP port 8211). Detta kan leda till att en angripare kan fjärrköra kod som en priviligierad användare. [1]

Påverkade produkter

ArubaOS 10.4.x.x: 10.4.0.1 och tidigare InstantOS 8.11.x.x: 8.11.1.0 och tidigare InstantOS 8.10.x.x: 8.10.0.6 och tidigare InstantOS 8.6.x.x: 8.6.0.20 och tidigare InstantOS 6.5.x.x: 6.5.4.24 och tidigare InstantOS 6.4.x.x: 6.4.4.8-4.2.4.21 och tidigare

Utöver ovan nämnda versioner finns det även tidigare utgivningar som är sårbara. Dessa versioner är end of life och uppdateras inte längre. För en fullständig förteckning, se Aruba Networks säkerhetsmeddelande. [1]

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter. För ytterligare information, se Aruba Networks säkerhetsmeddelande.

Källor

[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt