聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这两个漏洞可导致远程攻击者通过将特殊构造的数据包经由 UDP 端口8211发送到 Aruba 的访问点管理协议 (PAPI),执行未认证命令注入。这两个漏洞位于通过 PAPI 协议访问的命令行接口 (CLI) 服务中。
该更新还修复了另外四个安全漏洞:
-
CVE-2024-47461(CVSS评分7.2):认证远程命令执行漏洞,可导致攻击者在底层操作系统上执行任意命令。
-
CVE-2024-47462和CVE-2024-47463(CVSS评分7.2):认证攻击者可创建任意文件,可能导致远程命令执行后果。
-
CVE-2024-47464(CVSS评分6.8):认证攻击者可利用该漏洞通过路径遍历漏洞访问越权文件。
所有这柳哥漏洞影响 AOS-10.4.x.x:10.4.1.4和更老旧版本、Instant AOS-8.12.x.x:8.12.0.2及以下版本以及 Instant AOS-8.10.x.x:8.10.0.13及老旧版本。
慧与公司在安全公告中提到,该软件的更多版本已到达维护最后期限,如也受影响则不会收到安全更新。
为了修复 Aruba Networking Access Points 中的漏洞,慧与公司建议用户将设备更新到如下软件版本或更新版本:
-
AOS-10.7.x.x: 更新至10.7.0.0 及后续版本
-
AOS-10.4.x.x: 更新至10.4.1.5 及后续版本
-
Instant AOS-8.12.x.x: 更新至 8.12.0.3 及后续版本
-
Instant AOS-8.10.x.x: 更新至 8.10.0.14 及后续版本
慧与还提供了应变措施,以缓解无法立即安装软件更新的情况。对于这两个严重漏洞,提议的应变措施是从所有不可信网络中限制/拦截对 UDP 端口8211的访问权限。对于余下问题,厂商建议将CLI和基于web的管理接口放在专门的第2层片段或VLAN,限制对它们的访问权限,并在第3层及以上通过防火墙策略控制访问权限,从而限制潜在的暴露情况。
虽然目前还未看到漏洞遭活跃利用的情况,但仍强烈建议应用安全更新和/或缓解措施。
原文始发于微信公众号(代码卫士):HPE:Aruba Networking 访问点中存在严重的RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论