HPE 修补了 Aruba PAPI 中的三个关键安全漏洞

阅读量63224

发布时间 : 2024-09-27 14:28:44

x
译文声明

本文是翻译文章,文章原作者 伊恩·汤姆森,文章来源:theregister

原文地址:https://www.theregister.com/2024/09/26/hpe_aruba_patch_papi/

译文仅供参考,具体内容表达以及含义原文为准。

运行AOS-8和AOS-10的Aruba接入点需要紧急打补丁,因为HPE为其网络子公司接入点中的三个关键漏洞发布了修复程序。

这些问题将允许未经身份验证的攻击者通过向UDP端口8211发送精心构造的数据包来在Aruba系统上执行代码。该端口是操作系统专有的访问协议接口(PAPI),这将为恶意人员提供对设备的特权访问。

这三个漏洞——CVE-2024-42505、CVE-2024-42506 和 CVE-2024-42507——在CVSS严重性评分中均被评为9.8(满分10分)。

这些漏洞影响AOS 10.6.x.x版本(包括10.6.0.2及之前版本)以及Instant AOS 8.12.x.x版本(8.12.0.1及更早版本)。HPE还警告说,已经停止支持的代码,包括AOS 10.5和10.3,以及Instant AOS-8.11及其之前的版本也受到影响,并建议升级这些系统以获得保护。

“通过启用cluster-security命令可以防止运行Instant AOS-8.x代码的设备被利用这些漏洞。”HPE在其安全警报中建议。“对于AOS-10设备来说,这不是一个选项,而应该从所有不受信任的网络中阻止对UDP端口8211的访问。”这不是PAPI今年首次被发现存在严重问题。早在五月份,Aruba就在公开的概念验证利用代码发布后修复了系统中的四个关键漏洞,并在不到一周后又发布了更多补丁。

这些补丁对于美国军方内的系统管理员尤为关切。早在2020年,Aruba就因成为五角大楼的首选供应商而取得重大胜利,当时军方与思科关系破裂并开始更换其设备。

HPE感谢Erik de Jong发现了这些漏洞,他是一名兼职漏洞研究员,日常工作是荷兰电信公司DELTA Fiber的安全官员。这些漏洞是通过Bugcrowd提交的,他表示自己的业余爱好帮助他还清了一部分房贷。

在发布时,HPE表示尚未发现有任何迹象表明这些问题已在野外被利用。然而,随着补丁的发布,鉴于问题的严重性,这种情况可能会发生变化。®

本文翻译自theregister 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66