Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en ArubaOS de HPE Aruba

Fecha de publicación 02/05/2024
Identificador
INCIBE-2024-0219
Importancia
4 - Alta
Recursos Afectados

HPE Aruba Networking:

  • Mobility Conductor (formerly Mobility Master);
  • Mobility Controllers;
  • WLAN Gateways and SD-WAN Gateways managed by Aruba Central.

Versiones software afectadas:

  • ArubaOS 10.5.x.x: 10.5.1.0 y anteriores;
  • ArubaOS 10.4.x.x: 10.4.1.0 y anteriores;
  • ArubaOS 8.11.x.x: 8.11.2.1 y anteriores;
  • ArubaOS 8.10.x.x: 8.10.0.10 y anteriores.

Todas las versiones software ArubaOS ySD-WAN (estas versiones se encuentran sin mantenimiento):

  • ArubaOS 10.3.x.x;
  • ArubaOS 8.9.x.x;
  • ArubaOS 8.8.x.x; 
  • ArubaOS 8.7.x.x; 
  • ArubaOS 8.6.x.x; 
  • ArubaOS 6.5.4.x; 
  • SD-WAN 8.7.0.0-2.3.0.x;
  • SD-WAN 8.6.0.4-2.2.x.x.
Descripción

HPE ha publicado 10 vulnerabilidades: 4 de severidad crítica y 6 medias, que podrían dar lugar a una ejecución de código arbitrario y denegación de servicio (DoS).

Solución

HPE Aruba Networking ha lanzado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad.

Detalle

Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer y su explotación podría dar lugar a una
ejecución de código arbitrario como usuario privilegiado en el sistema operativo subyacente.

Se han asignado los identificadores CVE -2024-26304, CVE-2024-26305, CVE-2024-33511 y CVE-2024-33512 para estas vulnerabilidades.

Listado de referencias
HPESBNW04640 rev.1 - HPE Aruba ArubaOS, Multiple Vulnerabilities
ARUBA-PSA-2024-004: HPE Aruba Networking Product Security Advisory
Etiquetas