Flera kritiska sårbarheter i produkter från Aruba Networks

Aruba Networks publicerat säkerhetsuppdateringar som rättar flera kritiska sårbarheter i Aruba-accesspunkter som kör InstantOS och ArubaOS 10.

Sårbarheterna CVE-2023-45614, CVE-2023-45615 respektive CVE-2023-45616, som fått CVSS-klassificering 9.8 av 10, kan utnyttjas via buffertöverskridning genom att skicka specialutformade paket till PAPI-protokollet (UDP port 8211). Detta kan leda till att en angripare kan fjärrköra kod som en priviligierad användare. [1]

Påverkade produkter

ArubaOS 10.5.x.x:   10.5.0.0 och tidigare
ArubaOS 10.4.x.x:   10.4.0.2 och tidigare
InstantOS 8.11.x.x: 8.11.1.2 och tidigare
InstantOS 8.10.x.x: 8.10.0.8 och tidigare
InstantOS 8.6.x.x:  8.6.0.22 och tidigare

Utöver ovan nämnda versioner finns det även tidigare utgivningar som är sårbara. Dessa versioner är End-of-life och uppdateras inte längre. För en fullständig förteckning, se Aruba Networks säkerhetsmeddelande. [1]

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter.

Källor

[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt