bencede
New member
Duyuru
Aruba, 9000 ve 9200 serisi kontrolörler ve ağ geçitleri için güncellenmiş ürün yazılımını yayınladı.Üretici, yüksek risk olarak sınıflandırılan birçok güvenlik açığını kapatıyor.
Aruba çalışanları güvenlik raporlarında, söz konusu serinin BIOS uygulamalarının çeşitli arabellek taşmaları nedeniyle sorun yaşadığını açıklıyor. “Aruba 9200 ve 9000 Serisi denetleyicilerin ve ağ geçitlerinin BIOS uygulamasındaki güvenlik açıkları, saldırganların önyükleme sırasının başlarında rastgele kod enjekte etmesine ve yürütmesine olanak tanıyabilir. Temeldeki hassas bilgilere erişim sağlamak ve bunları değiştirmek için bundan yararlanabilirler, bu da tam bir uzlaşmayla sonuçlanır makinenin”, diye açıklıyor üretici (CVE-2023-38484+CVE-2023-38485, CVSS 8.0risk”yüksek“).
Aruba Güvenlik Açıkları: Diğer güvenlik açıklarıyla zincirleme gereklidir
Üretici, saldırganların kök haklarına ihtiyacı olduğundan, bu güvenlik açığından yararlanmak için önce başka bir güvenlik açığını kötüye kullanmanız gerektiğine dikkat çekiyor. Bu aynı zamanda saldırganların imzasız çekirdek görüntülerinin yürütülmesini engelleyen güvenlik önlemlerini atlamasına olanak tanıyan başka bir güvenlik açığı için de geçerlidir. Saldırganlar, güvenli önyükleme uygulamasındaki güvenin kökenini atlayarak, doğrulanmamış ve imzasız işletim sistemi görüntüleri de dahil olmak üzere rastgele işletim sistemlerini önyükleyebilir (CVE-2023-38486, CVSS) 7.7, yüksek).
ArubaOS 10.4.0.2, 8.11.1.1, 8.10.0.7, 8.6.0.22 ve sonraki sürümlerle güncellenen donanım yazılımı sürümlerinde güvenlik açıkları giderildi. Üretici şu anda boşluklardan zaten yararlanıldığının farkında değil. Etkilenen cihazlar, HPE Aruba Networking 9200 Serisi Mobilite Denetleyicileri ve SD-WAN Ağ Geçitlerinin yanı sıra 9000 Serisidir. Önceki sürümler de etkilenmiştir. Ancak yaşam döngülerinin sonuna ulaştıkları için artık güncelleme yok: ArubaOS 10.3.xx, 8.9.xx, 8.8.xx, 8.7.xx, 6.5.4.x, SD-WAN 8.7.0.0- 2.3. 0.x ve 8.6.0.4-2.2.xx
Aruba geçen hafta anahtarlardaki güvenlik açıklarını düzeltti. Saldırganlar boşluklardan kötü amaçlı kod yerleştirmiş olabilir.
Duyuru
(Bilmiyorum)
Haberin Sonu
Aruba, 9000 ve 9200 serisi kontrolörler ve ağ geçitleri için güncellenmiş ürün yazılımını yayınladı.Üretici, yüksek risk olarak sınıflandırılan birçok güvenlik açığını kapatıyor.
Aruba çalışanları güvenlik raporlarında, söz konusu serinin BIOS uygulamalarının çeşitli arabellek taşmaları nedeniyle sorun yaşadığını açıklıyor. “Aruba 9200 ve 9000 Serisi denetleyicilerin ve ağ geçitlerinin BIOS uygulamasındaki güvenlik açıkları, saldırganların önyükleme sırasının başlarında rastgele kod enjekte etmesine ve yürütmesine olanak tanıyabilir. Temeldeki hassas bilgilere erişim sağlamak ve bunları değiştirmek için bundan yararlanabilirler, bu da tam bir uzlaşmayla sonuçlanır makinenin”, diye açıklıyor üretici (CVE-2023-38484+CVE-2023-38485, CVSS 8.0risk”yüksek“).
Aruba Güvenlik Açıkları: Diğer güvenlik açıklarıyla zincirleme gereklidir
Üretici, saldırganların kök haklarına ihtiyacı olduğundan, bu güvenlik açığından yararlanmak için önce başka bir güvenlik açığını kötüye kullanmanız gerektiğine dikkat çekiyor. Bu aynı zamanda saldırganların imzasız çekirdek görüntülerinin yürütülmesini engelleyen güvenlik önlemlerini atlamasına olanak tanıyan başka bir güvenlik açığı için de geçerlidir. Saldırganlar, güvenli önyükleme uygulamasındaki güvenin kökenini atlayarak, doğrulanmamış ve imzasız işletim sistemi görüntüleri de dahil olmak üzere rastgele işletim sistemlerini önyükleyebilir (CVE-2023-38486, CVSS) 7.7, yüksek).
ArubaOS 10.4.0.2, 8.11.1.1, 8.10.0.7, 8.6.0.22 ve sonraki sürümlerle güncellenen donanım yazılımı sürümlerinde güvenlik açıkları giderildi. Üretici şu anda boşluklardan zaten yararlanıldığının farkında değil. Etkilenen cihazlar, HPE Aruba Networking 9200 Serisi Mobilite Denetleyicileri ve SD-WAN Ağ Geçitlerinin yanı sıra 9000 Serisidir. Önceki sürümler de etkilenmiştir. Ancak yaşam döngülerinin sonuna ulaştıkları için artık güncelleme yok: ArubaOS 10.3.xx, 8.9.xx, 8.8.xx, 8.7.xx, 6.5.4.x, SD-WAN 8.7.0.0- 2.3. 0.x ve 8.6.0.4-2.2.xx
Aruba geçen hafta anahtarlardaki güvenlik açıklarını düzeltti. Saldırganlar boşluklardan kötü amaçlı kod yerleştirmiş olabilir.
Duyuru
(Bilmiyorum)
Haberin Sonu