Lo último:
Noticias

Múltiples vulnerabilidades de ejecución remota de código en Aruba Mobility Controllers

Gustavo Genez

Fecha de publicación: 04/09/2019

Importancia:
Alta

Recursos afectados:

Aruba Mobility Controllers con las siguientes versiones de firmware:

  • ArubaOS 6.x, anterior a la 6.4.4.21;
  • ArubaOS 6.5.x, anterior a la 6.5.4.13;
  • ArubaOS 8.x, anterior a la 8.2.2.6;
  • ArubaOS 8.3.0.x, anterior a la 8.3.0.7;
  • ArubaOS 8.4.0.x, anterior a la 8.4.0.3.

Descripción:

Aruba ha publicado vulnerabilidades presentes en algunas versiones que se ejecutan en Aruba Mobility Controllers y que podrían permitir a un atacante ejecutar código arbitrario en el sistema operativo subyacente con todos los privilegios del sistema.

Solución:

Aplicar las siguientes actualizaciones en función de la versión afectada:

  • ArubaOS 6.4.4.21,
  • ArubaOS 6.5.4.13,
  • ArubaOS 8.2.2.6,
  • ArubaOS 8.3.0.7,
  • ArubaOS 8.4.0.3,
  • ArubaOS 8.5.0.0.

Detalle:

  • El componente network-listener presenta una vulnerabilidad de ejecución remota de código en algunas versiones de ArubaOS. Un atacante, con capacidad para transferir tráfico IP especialmente diseñado a un controlador de movilidad, aprovechando el protocolo PAPI (UDP 8211), podría causar un fallo en el proceso o ejecutar código arbitrario en el sistema operativo subyaente con todos los privilegios del sistema. Se ha reservado el identificador CVE-2018-7081 para esta vulnerabilidad.
  • Algunos componentes web del software ArubaOS son vulnerables a inyección CRLF y a Cross-Site Scripting (XSS) reflejado. Un atacante podría enviar ciertos parámetros de URL para explotar esta vulnerabilidad. Se ha reservado el identificador CVE-2019-5314 para esta vulnerabilidad.
  • La vulnerabilidad de inyección de comandos presente en la interfaz de gestión web de ArubaOS podría permitir a un atacante autenticado, ejecutar comandos arbitrarios en el sistema operativo subyacente. Un administrador malicioso podría utilizar esta capacidad para instalar puertas traseras o cambiar la configuración del sistema de manera que no quede registro. Esta vulnerabilidad solo afecta a ArubaOS 8.x. Se ha reservado el identificador CVE-2019-5315 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Cada vez hay más demanda de malware y ataques en la Dark Web

Gustavo Genez

3 métodos para entrar en tu router si olvidas la clave de acceso

Gustavo Genez

Bitdefender descubre nuevas capacidades del peligroso troyano Trickbot

Gustavo Genez