MĂșltiples vulnerabilidades en ArubaOS de HPE

Fecha de publicaciĂłn: 01/09/2021

Importancia:
CrĂ­tica

Recursos afectados:

  • ArubaOS, versiones anteriores a la 8.8.0.1, 8.7.1.4, 8.6.0.11, 8.5.0.13, 8.3.0.16, 6.5.4.20 y 6.4.4.25;
  • Software y pasarelas SD-WAN, versiones anteriores a la 8.7.0.0-2.3.0.0 y 8.6.0.4-2.2.0.6.

Los siguientes productos tambiĂ©n estĂĄn afectados al haber llegado al final de su vida Ăștil:

  • ArubaOS 8.0.xx,
  • ArubaOS 8.1.xx,
  • ArubaOS 8.2.xx,
  • ArubaOS 8.4.xx,
  • SD-WAN 1.0.xx,
  • SD-WAN 2.0.xx,
  • SD-WAN 2.1.xx,

DescripciĂłn:
Aruba ha publicado parches para una vulnerabilidad de severidad crĂ­tica, nueve de severidad alta y cinco de severidad media, que podrĂ­an permitir a un atacante remoto causar una condiciĂłn de denegaciĂłn de servicio, la ejecuciĂłn de cĂłdigo arbitrario con privilegios o comprometer la integridad y confidencialidad de archivos del sistema.

SoluciĂłn:

Productos ArubaOS:

  • para versiones 8.3.0.x, actualizar a 8.3.0.15 o superior;
  • para versiones 8.5.0.x, actualizar a 8.5.0.12 o superior;
  • para versiones 8.6.0.x, actualizar a 8.6.0.8 o superior;
  • para versiones 8.7.x.x, actualizar a 8.7.1.2 o superior;
  • para versiones 8.8.0.x, actualizar a 8.8.0.0 o superior.

Productos SD-WAN:

  • para versiones 2.2.x.x, actualizar a 8.6.0.4-2.2.0.4 o superior;
  • para versiones 2.3.x.x, actualizar a 8.7.0.0-2.3.0.0 o superior.

En cuanto a los productos que finalizan su vida Ăștil se recomienda migrar a otro producto compatible, siguiendo las indicaciones del fabricante.

Detalle:

Una vulnerabilidad de desbordamiento de bĂșfer en el protocolo PAPI (Aruba Networks AP management protocol) podrĂ­a permitir a un atacante, remoto y no autenticado, la ejecuciĂłn de cĂłdigo en el sistema operativo subyacente o causar una condiciĂłn de denegaciĂłn de servicio, mediante el envĂ­o de paquetes especialmente diseñados al puerto UDP (8211) de los dispositivos que ejecutan ArubaOS. Se ha asignado el identificador CVE-2021-37716 para esta vulnerabilidad de severidad crĂ­tica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-37717, CVE-2021-37718, CVE-2021-37719, CVE-2021-37720, CVE-2021-37721, CVE-2021-37722, CVE-2021-37723, CVE-2021-37724 y CVE-2021-37725.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2019-5318, CVE-2021-37728, CVE-2021-37729, CVE-2021-37731 y CVE-2021-37733.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.