Descripción
Aruba ha publicado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad, siendo 2 de ellas críticas y permitiendo a un atacante la ejecución de código remoto no autenticado o la inyección remota de comandos arbitrarios.
Detalle
Las vulnerabilidades corregidas por Aruba solucionan las siguientes vulnerabilidades críticas:
- Vulnerabilidad de desbordamiento de la memoria intermedia, que podría dar lugar a la ejecución de código remoto no autenticado mediante el envío de paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24633 para esta vulnerabilidad.
- Vulnerabilidad de inyección remota de comandos arbitrarios enviando paquetes especialmente elaborados destinados al puerto UDP (8211) utilizado por PAPI (Aruba Networks AP management protocol). Se ha asignado el identificador CVE-2020-24634 para esta vulnerabilidad.
- Se han publicado también parches para vulnerabilidades con los siguientes identificadores asignados: CVE-2020-10713 y CVE-2020-24637.
Recursos afectados
- ArubaOS Mobility Conductor
- Aruba Mobility Controllers
- Access-Points gestionados por Mobility Controllers
- Aruba SD-WAN Gateways
Versiones afectadas
- ArubaOS: 6.4.4.23, 6.5.4.17, 8.2.2.9, 8.3.0.13, 8.5.0.10, 8.6.0.5, 8.7.0.0, y anteriores
- SD-WAN: 2.1.0.1, 2.2.0.0, y anteriores
Solución
Se recomienda actualizar ArubaOS a las siguientes versiones:
- ArubaOS 6.4.4.24, 6.5.4.18, 8.2.2.10, 8.3.0.14, 8.5.0.11, 8.6.0.6, 8.7.1.0, y siguientes
- SD-WAN 2.1.0.2, 2.2.0.1, y siguientes
