Múltiples vulnerabilidades en ArubaOS

Fecha de publicación 09/12/2020
Importancia
5 - Crítica
Recursos Afectados

Las versiones afectadas son:

  • ArubaOS: 6.4.4.23, 6.5.4.17, 8.2.2.9, 8.3.0.13, 8.5.0.10, 8.6.0.5, 8.7.0.0, y anteriores.
  • SD-WAN: 2.1.0.1, 2.2.0.0, y anteriores.

Estas versiones se utilizan en los siguientes productos:

  • ArubaOS Mobility Conductor.
  • Aruba Mobility Controllers.
  • Access-Points gestionados por Mobility Controllers.
  • Aruba SD-WAN Gateways.
Descripción

Aruba ha publicado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad, siendo 2 de ellas críticas y permitiendo a un atacante la ejecución de código remoto no autenticado o la inyección remota de comandos arbitrarios.

Solución

Se recomienda actualizar ArubaOS a las siguientes versiones:

  • ArubaOS 6.4.4.24, 6.5.4.18, 8.2.2.10, 8.3.0.14, 8.5.0.11, 8.6.0.6, 8.7.1.0, y siguientes.
  • SD-WAN 2.1.0.2, 2.2.0.1, y siguientes.
Detalle

Las vulnerabilidades corregidas por Aruba solucionan las siguientes vulnerabilidades críticas:

  • Vulnerabilidad de desbordamiento de la memoria intermedia, que podría dar lugar a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24633 para esta vulnerabilidad.
  • Vulnerabilidad de inyección remota de comandos arbitrarios enviando paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24634 para esta vulnerabilidad.

Se han publicado también parches para vulnerabilidades con los siguientes identificadores asignados: CVE-2020-10713 y CVE-2020-24637.

Encuesta valoración

Listado de referencias
ARUBA-PSA-2020-012: ArubaOS Multiple Vulnerabilities
Etiquetas