Múltiples vulnerabilidades en productos de HPE Aruba
Se encuentran afectados los siguientes productos y versiones:
- ArubaOS 10.4.xx: 10.4.0.1 y anteriores;
- InstantOS 8.11.xx: 8.11.1.0 y anteriores;
- InstantOS 8.10.xx: 8.10.0.6 y anteriores;
- InstantOS 8.6.xx: 8.6.0.20 y anteriores;
- InstantOS 6.5.xx: 6.5.4.24 y anteriores;
- InstantOS 6.4.xx: 6.4.4.8-4.2.4.21 y anteriores;
También esta afectados los siguientes productos EOL sin soporte:
- ArubaOS 10.3.xx;
- InstantOS 8.9.xx;
- InstantOS 8.8.xx;
- InstantOS 8.7.xx;
- InstantOS 8.5.xx;
- InstantOS 8.4.xx.
HPE Aruba ha informado de varias vulnerabilidades en puntos de acceso que ejecuten InstantOS y ArubaOS 10. La explotación de estas vulnerabilidades podría permitir a un atacante realizar ejecuciones arbitrarias de código por desbordamientos de búfer, o fugas de información.
HPE Aruba recomienda actualizar a las siguientes versiones:
- ArubaOS 10.4.xx: 10.4.0.2 y superior;
- InstantOS 8.11.xx: 8.11.1.1 y superior;
- InstantOS 8.10.xx: 8.10.0.7 y superior;
- InstantOS 8.6.x: 8.6.0.21 y superior;
- InstantOS 6.5.x: 6.5.4.25 y superior;
- InstantOS 6.4.x: 6.4.4.8-4.2.4.22 y superior.
Para aquellos productos que alcanzaron la fecha de fin de soporte y para los que no se realizarán actualizaciones, se recomienda visitar la página web de HPE Aruba EOL.
Las vulnerabilidades conocidas en puntos de acceso HPE Aruba que ejecuten InstantOS y ArubaOS 10, se refieren a fallos de desbordamiento de búfer en múltiples servicios subyacentes que podrían dar lugar a la ejecución remota de código mediante el envío de paquetes especialmente diseñados, o a la divulgación de información en el kernel utilizado por los puntos de acceso. Se han asignado para estas vulnerabilidades los siguientes identificadores: CVE-2023-35980, CVE-2023-35981, CVE-2023-35982 y CVE-2022-25667.
