Múltiples vulnerabilidades en ArubaOS
Fecha de publicación 09/12/2020
Importancia
5 - Crítica
Recursos Afectados
Las versiones afectadas son:
- ArubaOS: 6.4.4.23, 6.5.4.17, 8.2.2.9, 8.3.0.13, 8.5.0.10, 8.6.0.5, 8.7.0.0, y anteriores.
- SD-WAN: 2.1.0.1, 2.2.0.0, y anteriores.
Estas versiones se utilizan en los siguientes productos:
- ArubaOS Mobility Conductor.
- Aruba Mobility Controllers.
- Access-Points gestionados por Mobility Controllers.
- Aruba SD-WAN Gateways.
Descripción
Aruba ha publicado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad, siendo 2 de ellas críticas y permitiendo a un atacante la ejecución de código remoto no autenticado o la inyección remota de comandos arbitrarios.
Solución
Se recomienda actualizar ArubaOS a las siguientes versiones:
- ArubaOS 6.4.4.24, 6.5.4.18, 8.2.2.10, 8.3.0.14, 8.5.0.11, 8.6.0.6, 8.7.1.0, y siguientes.
- SD-WAN 2.1.0.2, 2.2.0.1, y siguientes.
Detalle
Las vulnerabilidades corregidas por Aruba solucionan las siguientes vulnerabilidades críticas:
- Vulnerabilidad de desbordamiento de la memoria intermedia, que podría dar lugar a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24633 para esta vulnerabilidad.
- Vulnerabilidad de inyección remota de comandos arbitrarios enviando paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24634 para esta vulnerabilidad.
Se han publicado también parches para vulnerabilidades con los siguientes identificadores asignados: CVE-2020-10713 y CVE-2020-24637.
Listado de referencias