Posted on by Seguridad CSIRT-CV

Múltiples vulnerabilitats en ArubaOS-Switch d’HPE Aruba

HPE Aruba Networking ha llançat actualitzacions que aborden múltiples vulnerabilitats de severitat alta. La seua explotació podria permetre a un atacant executar script entre llocs (XSS), provocar una denegació de servei (Dos) o una corrupció de memòria.

Anàlisi
 
    • La vulnerabilitat CVE-2023-39266 afecta interfície d’administració web d’ArubaOS-Switch i podria permetre que un atacant remot, no autenticat, duga a terme un atac de script entre llocs (XSS) emmagatzemat contra un usuari de la interfície. La seua explotació reeixida podria permetre a un atacant executar codi de script arbitrari en el navegador de la víctima en el context de la interfície afectada.
    • La vulnerabilitat CVE-2023-39267 podria provocar execució remota de codi autenticat en la interfície de script en ArubaOS-Switch. L’explotació reeixida dona com a resultat una condició de denegació de servei (Dos) en el commutador.
    • La vulnerabilitat CVE-2023-39268 de corrupció de memòria en ArubaOS-Switch podria provocar l’execució remota de codi, no autenticat, en rebre paquets especialment dissenyats. L’explotació reeixida d’aquesta vulnerabilitat dona com a resultat la capacitat d’executar codi arbitrari com a usuari privilegiat en el sistema operatiu subjacent.

Recursos afectats

Models d’HPE Aruba Networking Switch:

    • Aruba 5400R Series Switches;
    • Aruba 3810 Series Switches;
    • Aruba 2920 Series Switches;
    • Aruba 2930F Series Switches;
    • Aruba 2930M Series Switches;
    • Aruba 2530 Series Switches;
    • Aruba 2540 Series Switches.

Versions de les branques de desenvolupament de programari:

    • ArubaOS-Switch 16.11.xxxx: KB/WC/JA/YB/YC.16.11.0012 i anteriors.
    • ArubaOS-Switch 16.10.xxxx: KB/WC/JA/YB/YC.16.10.0025 i anteriors.
    • ArubaOS-Switch 16.10.xxxx: WB.16.10.23 i anteriors.
    • ArubaOS-Switch 16.09.xxxx: totes les versions.
    • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/JA/YB/YC.16.08.0026 i anteriors.
    • ArubaOS-Switch 16.07.xxxx: totes les versions.
    • ArubaOS-Switch 16.06.xxxx: totes les versions.
    • ArubaOS-Switch 16.05.xxxx: totes les versions.
    • ArubaOS-Switch 16.04.xxxx: CA/RA.16.04.0026 i anteriors.
    • ArubaOS-Switch 16.03.xxxx: totes les versions.
    • ArubaOS-Switch 16.02.xxxx: totes les versions.
    • ArubaOS-Switch 16.01.xxxx: totes les versions.
    • ArubaOS-Switch 15.xx.xxxx: 15.16.0025 i anteriors.

Recomanacions

Per a abordar les vulnerabilitats es recomana actualitzar el programari a les versions següents:

    • ArubaOS-Switch 16.11.xxxx: KB/WC/JA /YB/YC.16.11.0013 i superiors;
    • ArubaOS-Switch 16.10.xxxx: WB.16.10.0024 i superior;
    • ArubaOS-Switch 16.08.xxxx: KB/WB/WC/JA/YB/YC.16.08.0027 i superiors;
    • ArubaOS-Switch 16.04.xxxx: CA/RA.16.04.0027 i superiors;
    • ArubaOS-Switch 15.xx.xxxx: A.15.16.0026 i superior.

 

Referències