HPE publikuje aktualizacje bezpieczeństwa dla przełączników z serii Aruba

utworzone przez | lip 21, 2021 | Aktualizacje

ProduktPrzełącznik z serii Aruba 8400/8360/8325/8320/6400/6300/6200F z oprogramowaniem AOS-CS w wersji:
10.04.xxxx, wersje wcześniejsze niż 10.04.3070
10.05.xxxx, wersje wcześniejsze niż 10.05.0070
10.06.xxxx, wersje wcześniejsze niż 10.06.0110
10.07.xxxx, wersje wcześniejsze niż 10.07.0001
Numer CVECVE-2020-25705
Krytyczność7.4 / 10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
OpisLuka w sposobie ograniczania odpowiedzi pakietów ICMP w jądrze Linuksa, która pozwala na szybkie skanowanie otwartych portów UDP. Podatność umożliwia zdalnemu atakującemu skuteczne ominięcie randomizacji portu źródłowego UDP.
Numer CVECVE-2021-29143
Krytyczność7.2 / 10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
OpisLuka umożliwiła atakującemu z poświadczeniami administratora wykonywanie poleceń jako root w systemie operacyjnym, co pozwala na całkowite włamanie się do systemu. Wykorzystanie jej wymaga podłączenia zewnętrznego urządzenia pamięci masowej do przełącznika.
Numer CVECVE-2021-29149
Krytyczność6.6 / 10
CVSSAV:P/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:N
OpisLuka umożliwia atakującemu ominięcie lokalnych ograniczeń bezpieczeństwa poprzez aktualizacje warstwy fizycznej od dostawcy usług internetowych. Wymaga to od atakującego posiadania poświadczeń administracyjnych i dostępu do usługodawcy internetowego zapewniającego aktualizację. Luka umożliwia nadpisanie istniejącego oprogramowania sprzętowego urządzenia AOS-CX złośliwą wersją.
Numer CVECVE-2021-29148
Krytyczność6.4 / 10
CVSSAV:L/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N
OpisZe względu na konfigurację internetowego interfejsu zarządzania adresy URL na stronach HTML mogą nie identyfikować konkretnie właściwego katalogu. Nieuwierzytelniony atakujące może nadpisać istniejące ścieżki CSS, co może zmienić wyświetlany interfejs użytkownika i skieruje ofiary do fałszywych witryn.
AktualizacjaTAK
Linkhttps://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbnw04185en_us