Múltiples vulnerabilidades en productos de Aruba

Fecha de publicación 10/05/2023
Importancia
5 - Crítica
Recursos Afectados

Aruba Access Points con el software InstantOS y ArubaOS 10:

  • ArubaOS 10.3.x: versiones 10.3.1.0 y anteriores;
  • Aruba InstantOS 8.10.x: versiones 8.10.0.4 y anteriores;
  • Aruba InstantOS 8.6.x: versiones 8.6.0.19 y anteriores;
  • Aruba InstantOS 6.5.x: versiones 6.5.4.23 y anteriores;
  • Aruba InstantOS 6.4.x: versiones 6.4.4.8-4.2.4.20 y anteriores.

Las siguientes versiones de InstantOS se encuentran en el final de su ciclo de vida, por lo que están afectadas por las vulnerabilidades reportadas y no van a ser parcheadas:

  • Todas las versiones de InstantOS 8.9.x;
  • Todas las versiones de InstantOS 8.8.x;
  • Todas las versiones de InstantOS 8.7.x;
  • Todas las versiones de InstantOS 8.5.x;
  • Todas las versiones de InstantOS 8.4.x.
Descripción

Aruba Networks ha informado de 8 vulnerabilidades críticas, 4 vulnerabilidades de severidad alta, y una vulnerabilidad de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante realizar ejecuciones arbitrarias de código, provocar una denegación de servicio, ejecutar comandos arbitrarios y provocar desbordamientos de búfer.

Solución

Aruba Network ha lanzado nuevas versiones de software para solucionar las vulnerabilidades en los productos afectados. Para más información, se pueden consultar las versiones concretas en el aviso de Aruba Networks incluido en las referencias.

Detalle

Las 8 vulnerabilidades de severidad crítica consisten en un desbordamiento de búfer en múltiples servicios subyacentes que podrían conducir a la ejecución remota de código no autenticada mediante el envío de paquetes especialmente diseñados destinados al puerto UDP PAPI. La explotación exitosa de estas
vulnerabilidades podría permitir a un atacante ejecutar código arbitrario como usuario privilegiado en el sistema operativo subyacente.

Se han asignado los siguientes identificadores para estas vulnerabilidades: CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785 y CVE-2023-22786.

Los identificadores del resto de vulnerabilidades no críticas se pueden consultar en el aviso de Aruba Networks incluido en las referencias.

Listado de referencias
SECURITY BULLETIN - HPE Aruba Access Points, Multiple Vulnerabilities
ARUBA-PSA-2023-006 - Aruba Product Security Advisory
Etiquetas