Sicherheitslücken in Aruba Access Points geschlossen
- Warnmeldung
Aruba Networking schloss mehrere kritische Schwachstellen in Aruba Access Points unter AOS-8 und AOS-10. Diese Sicherheitslücken ermöglichen Angreifenden, Schadcode einzuschleusen. Der Hersteller empfiehlt, zügig upzudaten.
© Aruba Networks
Command Injection ermöglicht RCE
Angreifende können über die kritischen Sicherheitslücken beliebigen (Schad-)Code ausführen (RCE: Remote Code Execution). Dies verschafft theoretisch weitreichende Möglichkeiten auf dem System, verbunden mit einem hohen Risiko. Dies kann bis zur vollständigen Übernahme des Systems führen durch Einschleusen entsprechend präparierter Pakete über UDP-Port 8211.
Schwachstellen:
- CVE-2024-42505
- CVE-2024-42506
- CVE-2024-42507
Alle diese Schwachstellen sind mit dem CVSS-Score 9.8 bewertet.
Der Hersteller, Aruba Networking, ist eine Tochtergesellschaft des Unternehmens Hewlett Packard Enterprise. Der Sitz ist in Santa Clara, Kalifornien.
Betroffene Produkte/Versionen
-
- Aruba Access Points unter Instant AOS-8 und AOS-10
-
- AOS-10.6.x.x: bis einschl. 10.6.0.2
- AOS-10.4.x.x: bis einschl. 10.4.1.3
- Instant AOS-8.12.x.x: bis einschl. 8.12.0.1
- Instant AOS-8.10.x.x: bis einschl. 8.10.0.13
-
- AOS-10.5.x.x: alle
- AOS-10.3.x.x: alle
- Instant AOS-8.11.x.x: alle
- Instant AOS-8.9.x.x: alle
- Instant AOS-8.8.x.x: alle
- Instant AOS-8.7.x.x: alle
- Instant AOS-8.6.x.x: alle
- Instant AOS-8.5.x.x: alle
- Instant AOS-8.4.x.x: alle
- Instant AOS-6.5.x.x: alle
- Instant AOS-6.4.x.x: alle
Empfehlungen
- Der Hersteller empfiehlt, ein Upgrade zu prüfen und dieses zeitnah zu installieren.
- Alternativ können Sie temporär auf Geräten, auf denen Instant AOS in der Version 8 läuft, die Cluster-Security aktivieren oder den UDP-Port 8211 sperren.
- Wenn Sie nicht mehr unterstützte Produkte betreiben, aktualisieren Sie diese auf eine unterstützte Version.