Recursos afectados:
Las versiones afectadas son:
- ArubaOS: 6.4.4.23, 6.5.4.17, 8.2.2.9, 8.3.0.13, 8.5.0.10, 8.6.0.5, 8.7.0.0, y anteriores.
- SD-WAN: 2.1.0.1, 2.2.0.0, y anteriores.
Estas versiones se utilizan en los siguientes productos:
- ArubaOS Mobility Conductor.
- Aruba Mobility Controllers.
- Access-Points gestionados por Mobility Controllers.
- Aruba SD-WAN Gateways.
Descripción:
Aruba ha publicado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad, siendo 2 de ellas críticas y permitiendo a un atacante la ejecución de código remoto no autenticado o la inyección remota de comandos arbitrarios.
Solución:
Se recomienda actualizar ArubaOS a las siguientes versiones:
- ArubaOS 6.4.4.24, 6.5.4.18, 8.2.2.10, 8.3.0.14, 8.5.0.11, 8.6.0.6, 8.7.1.0, y siguientes.
- SD-WAN 2.1.0.2, 2.2.0.1, y siguientes.
Detalle:
Las vulnerabilidades corregidas por Aruba solucionan las siguientes vulnerabilidades críticas:
- Vulnerabilidad de desbordamiento de la memoria intermedia, que podría dar lugar a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24633 para esta vulnerabilidad.
- Vulnerabilidad de inyección remota de comandos arbitrarios enviando paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24634 para esta vulnerabilidad.
Se han publicado también parches para vulnerabilidades con los siguientes identificadores asignados:
CVE-2020-10713 y CVE-2020-24637.