漏洞分享 - HPE Aruba OS存在多個危急漏洞
HPE Aruba OS存在多個危急漏洞
一、摘要
HPE Aruba Networking發布資安公告,網路設備作業系統ArubaOS存在4項危急漏洞,若不修補,攻擊者就有可能在尚未通過身分驗證的情況下,以特權使用者的身分,於作業系統底層執行任意程式碼。
二、存在風險
HPE Aruba Networking發布資安公告,網路設備作業系統ArubaOS存在4項危急漏洞,若不修補,攻擊者就有可能在尚未通過身分驗證的情況下,以特權使用者的身分,於作業系統底層執行任意程式碼,其影響系統或版本如下:
- 受影響之系統/漏洞描述:
- Unauthenticated Buffer Overflow Vulnerability in the Utility Daemon Accessed via the PAPI Protocol
- CVE編號:CVE-2024-26305
- 漏洞描述:在底層的Utility守護程序中存在緩衝區溢出漏洞,可能會通過發送特製封包到PAPI(Aruba的訪問點管理協議)UDP端口(8211)來進行未經身份驗證的遠程代碼執行。成功利用此漏洞將以特權用戶的身份在底層操作系統上執行任意代碼。
- 影響系統/版本:
- ArubaOS 10.5.x.x: 10.5.1.0及以下
- ArubaOS 10.4.x.x: 10.4.1.0及以下
- ArubaOS 8.11.x.x: 8.11.2.1及以下
- ArubaOS 8.10.x.x: 8.10.0.10及以下
- Unauthenticated Buffer Overflow Vulnerability in the L2/L3 Management Service Accessed via the PAPI Protocol
- CVE編號:CVE-2024-26304
- 漏洞描述:在底層L2/L3管理服務中存在緩衝區溢出漏洞,可能通過發送特製封包到PAPI(Aruba的存取點管理協議)UDP端口(8211)來導致未經身份驗證的遠程代碼執行。成功利用此漏洞會導致在基礎操作系統上以特權用戶的身份執行任意代碼。
- 影響系統/版本:
- ArubaOS 10.5.x.x: 10.5.1.0及以下
- ArubaOS 10.4.x.x: 10.4.1.0及以下
- ArubaOS 8.11.x.x: 8.11.2.1及以下
- ArubaOS 8.10.x.x: 8.10.0.10及以下
- Unauthenticated Buffer Overflow Vulnerability in the Automatic Reporting ServiceAccessed via the PAPI Protocol
- CVE編號:CVE-2024-33511
- 漏洞描述:在底層的自動報告服務中存在緩衝區溢出漏洞,可能通過發送特製封包到PAPI(Aruba的存取點管理協議)UDP端口(8211)來導致未經身份驗證的遠程代碼執行。成功利用此漏洞會導致在基礎操作系統上以特權用戶的身份執行任意代碼。
- 影響系統/版本:
- ArubaOS 10.5.x.x: 10.5.1.0及以下
- ArubaOS 10.4.x.x: 10.4.1.0及以下
- ArubaOS 8.11.x.x: 8.11.2.1及以下
- ArubaOS 8.10.x.x: 8.10.0.10及以下
- Unauthenticated Buffer Overflow Vulnerability in the Automatic Reporting ServiceAccessed via the PAPI Protocol
- CVE編號:CVE-2024-33512
- 漏洞描述:底層的本地用戶身份驗證數據庫服務存在緩衝區溢出漏洞,可能通過發送特製封包到PAPI(Aruba的存取點管理協議)UDP端口(8211)來導致未經身份驗證的遠程代碼執行。成功利用此漏洞會導致在基礎操作系統上以特權用戶的身份執行任意代碼。
- 影響系統/版本:
- ArubaOS 10.5.x.x: 10.5.1.0及以下
- ArubaOS 10.4.x.x: 10.4.1.0及以下
- ArubaOS 8.11.x.x: 8.11.2.1及以下
- ArubaOS 8.10.x.x: 8.10.0.10及以下
三、建議改善措施:
企業及使用者如有上述漏洞版本應盡速更新。
- ArubaOS 10.6.x.x: 更新至10.6.0.0 或更高版本。
- ArubaOS 10.5.x.x: 更新至10.5.1.1 或更高版本。
- ArubaOS 10.4.x.x: 更新至10.4.1.1 或更高版本。
- ArubaOS 8.11.x.x: 更新至8.11.2.2 或更高版本。
- ArubaOS 8.10.x.x: 更新至8.10.0.11 或更高版本。
情資報告連結: