Múltiples vulnerabilidades en productos HPE y Aruba

Fecha de publicación 28/09/2022
Importancia
5 - Crítica
Recursos Afectados
  • HP-UX OpenSSL Software, versiones anteriores a A.01.01.01p.001;
  • Aruba InstantOS, versiones:
    • 6.4.4.8-4.2.4.20 y anteriores;
    • 6.5.4.23 y anteriores;
    • 8.6.0.18 y anteriores;
    • 8.7.1.9 y anteriores;
    • 8.10.0.1 y anteriores;
    • 10.3.1.0 y anteriores;
    • branches que se encuentran en fin de soporte (EOL).
Descripción

Se han identificado 16 vulnerabilidades en productos HPE y Aruba: 9 de severidad crítica, 4 altas y 3 medias.

Solución

Actualizar a:

  • HP-UX OpenSSL Software, versión A.01.01.01p.001;
  • Aruba InstantOS, versiones:
    • 6.4.4.8-4.2.4.21 y posteriores;
    • 6.5.4.24 y posteriores;
    • 8.6.0.19 y posteriores;
    • 8.7.1.10 y posteriores;
    • 8.10.0.2 y posteriores;
    • 10.3.1.1 y posteriores.
Detalle

La explotación de las vulnerabilidades críticas podría permitir a un atacante realizar las siguientes acciones:

  • inyección de comandos del sistema operativo (CVE-2022-1292 y CVE-2022-2068);
  • desbordamiento de búfer en el protocolo PAPI (CVE-2022-37885, CVE-2022-37886, CVE-2022-37887, CVE-2022-37888 y CVE-2022-37889);
  • desbordamiento de búfer no autenticado en la interfaz de gestión web (CVE-2022-37890 y CVE-2022-37891).

Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2022-0778, CVE-2002-20001, CVE-2022-37892, CVE-2022-37893, CVE-2022-37894, CVE-2022-37895 y CVE-2022-37896.

Encuesta valoración

Listado de referencias
HPESBUX04368 rev.1 - HP-UX Using OpenSSL, Multiple Local and Remote Vulnerabilities
HPESBNW04371 rev.1 - Aruba Access Points, Multiple Vulnerabilities
ARUBA-PSA-2022-014
Etiquetas