bencede
New member
HPE yan kuruluşlarının ArubaOS ürün yazılımına yönelik güvenlik güncellemeleri, saldırganların ağdan kötü amaçlı kod kaçırmak için kullanabileceği güvenlik açıklarını iyileştirir. BT yöneticileri güncellemeleri hızlı bir şekilde indirmeli ve uygulamalıdır.
Duyuru
Aruba, biri “kritik” risk derecesini kıl payı kaçıran toplam dokuz güvenlik açığını kapatıyor. Üretici, boşluklardan dördünü yüksek riskli ve beşini orta olarak değerlendiriyor.
ArubaOS: kritike yakın bir güvenlik açığı
ArubaOS web tabanlı yönetim arabirimindeki bir güvenlik açığı, kimliği doğrulanmamış saldırganların web arabirimi kullanıcılarına Depolanmış Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırısı gerçekleştirmesine olanak tanır. Bu, başarılı bir saldırıdan sonra (CVE-2023-35971, CVSS) bir kurbanın tarayıcısında bağlam içinde rasgele komut dosyası kodu yürütmelerine izin verir. 8.8risk”yüksek“). Kayıtlı kullanıcılar ayrıca, temel işletim sisteminde (CVE-2023-35972, CVSS) ayrıcalıklı kullanıcılar olarak çalışan web arayüzüne uzaktan komutlar girebilir. 7.2, yüksek).
ArubaOS Komut Satırı Arayüzünde de iki benzer güvenlik açığı bulunabilir (CVE-2023-35973, CVE-2023-35974, her ikisi de CVSS 7.2, yüksek). Aruba’nın güvenlik bildirimine göre, BT yöneticilerinin Aruba Central ile yönettiği HPE Aruba Mobility Conductor (eski adıyla Mobility Master), Mobility Controller ve WLAN ve SD-WAN ağ geçitleri etkilenir.
Yazılım sürümleri ArubaOS 10.4.0.1, 8.11.1.0, 8.10.0.6 ve 8.6.0.20’ye kadar savunmasızdır. Güvenlik açıklarından bazıları ArubaOS 8.9.xx, 8.8.xx, 8.7.xx, 6.5.4.x, SD-WAN 8.7.0.0-2.3.0.x ve 8.6.0.4-2.2.xx’i etkiliyor – bunlar desteğin sonu geldi ve bu nedenle artık güvenlik açıklarını kapatacak güncellemeler almıyor. Sızıntıları kapatmak için yalnızca ArubaOS yazılımının 10.4.0.2, 8.11.1.1, 8.10.0.7 ve 8.6.0.21 ve sonraki sürümleri mevcuttur.
Mayıs ayında, HPE yan kuruluşu erişim noktaları için güncellemeler yayınladı. Saldırganların erişim noktalarını ele geçirmek için kullanabilecekleri kritik güvenlik açıklarını doldurdular.
Duyuru
(dmk)
Haberin Sonu
Duyuru
Aruba, biri “kritik” risk derecesini kıl payı kaçıran toplam dokuz güvenlik açığını kapatıyor. Üretici, boşluklardan dördünü yüksek riskli ve beşini orta olarak değerlendiriyor.
ArubaOS: kritike yakın bir güvenlik açığı
ArubaOS web tabanlı yönetim arabirimindeki bir güvenlik açığı, kimliği doğrulanmamış saldırganların web arabirimi kullanıcılarına Depolanmış Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırısı gerçekleştirmesine olanak tanır. Bu, başarılı bir saldırıdan sonra (CVE-2023-35971, CVSS) bir kurbanın tarayıcısında bağlam içinde rasgele komut dosyası kodu yürütmelerine izin verir. 8.8risk”yüksek“). Kayıtlı kullanıcılar ayrıca, temel işletim sisteminde (CVE-2023-35972, CVSS) ayrıcalıklı kullanıcılar olarak çalışan web arayüzüne uzaktan komutlar girebilir. 7.2, yüksek).
ArubaOS Komut Satırı Arayüzünde de iki benzer güvenlik açığı bulunabilir (CVE-2023-35973, CVE-2023-35974, her ikisi de CVSS 7.2, yüksek). Aruba’nın güvenlik bildirimine göre, BT yöneticilerinin Aruba Central ile yönettiği HPE Aruba Mobility Conductor (eski adıyla Mobility Master), Mobility Controller ve WLAN ve SD-WAN ağ geçitleri etkilenir.
Yazılım sürümleri ArubaOS 10.4.0.1, 8.11.1.0, 8.10.0.6 ve 8.6.0.20’ye kadar savunmasızdır. Güvenlik açıklarından bazıları ArubaOS 8.9.xx, 8.8.xx, 8.7.xx, 6.5.4.x, SD-WAN 8.7.0.0-2.3.0.x ve 8.6.0.4-2.2.xx’i etkiliyor – bunlar desteğin sonu geldi ve bu nedenle artık güvenlik açıklarını kapatacak güncellemeler almıyor. Sızıntıları kapatmak için yalnızca ArubaOS yazılımının 10.4.0.2, 8.11.1.1, 8.10.0.7 ve 8.6.0.21 ve sonraki sürümleri mevcuttur.
Mayıs ayında, HPE yan kuruluşu erişim noktaları için güncellemeler yayınladı. Saldırganların erişim noktalarını ele geçirmek için kullanabilecekleri kritik güvenlik açıklarını doldurdular.
Duyuru
(dmk)
Haberin Sonu