[TLP:CLEAR] ArubaOS opravuje 7 zraniteľností
Aruba verziami 10.5.1.0, 10.4.1.0, 8.11.2.1 a 8.10.0.10 opravuje 7 zraniteľností v produkte ArubaOS (Mobility Controller, Mobility Conductor a Gateway).
Autentizovanému vzdialenému útočníkovi je umožnené odstraňovať ľubovolné súbory a potencionálne tak spôsobiť DoS útok. Pre dočasnú opravu je možné obmedziť príkazový riadok a webové prostredie určené pre manažment na dedikovaný segment vrstvy 2 a/alebo kontrolovať prístup pomocou firewallu na 3 alebo vyššej vrstve [1].
Zraniteľnosť sa nachádza v produkte ArubaOS vo verziách (<10.5.1.0 AND >10.5.0.0) OR (<10.4.1.0 AND >10.3.0.0) OR (<8.11.2.1 AND >8.11.0.0) OR (<8.10.0.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
Viac informácií:
- CVE-2024-25614 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-668: Exposure of Resource to Wrong Sphere at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 3. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené pomocou PAPI protokolu spôsobiť DoS útok. Ako dočasnú opravu je možné pre tento protokol povoliť funkcionalitu rozšírenej bezpečnosti [1].
Zraniteľnosť sa nachádza v produkte ArubaOS vo verziách (<10.5.1.0 AND >10.5.0.0) OR (<10.4.1.0 AND >10.3.0.0) OR (<8.11.2.1 AND >8.11.0.0) OR (<8.10.0.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Viac informácií:
- CVE-2024-25615 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 3. 2024.
Neautentizovanému vzdialenému útočníkovi je za určitých okolností umožnené neoprávnene pristupovať k citlivým informáciám [1].
Zraniteľnosť sa nachádza v produkte ArubaOS vo verziách (<10.5.1.0 AND >10.5.0.0) OR (<10.4.1.0 AND >10.3.0.0) OR (<8.11.2.1 AND >8.11.0.0) OR (<8.10.0.10).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2024-25616 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 3. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene spúšťať príkazy. Pre dočasnú opravu je možné obmedziť príkazový riadok a webové prostredie určené pre manažment na dedikovaný segment vrstvy 2 a/alebo kontrolovať prístup pomocou firewallu na 3 alebo vyššej vrstve [1].
Zraniteľnosť sa nachádza v produkte ArubaOS vo verziách (<10.5.1.0 AND >10.5.0.0) OR (<10.4.1.0 AND >10.3.0.0) OR (<8.11.2.1 AND >8.11.0.0) OR (<8.10.0.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-1356 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-25611 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-25612 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-25613 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 3. 2024.
Publikoval Martin Krajči dňa 8. 3. 2024.
