HPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2022-37897~CVE-2022-37912)
こんにちは。ネットワークソリューション特集 編集部です。
今回は、HPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2022-37897~CVE-2022-37912)についてお知らせします。
メーカリリース、対象OS
16個の脆弱性が見つかっています。
Advisory ID: ARUBA-PSA-2022-016
CVE: CVE-2022-37897, CVE-2022-37898, CVE-2022-37899,
CVE-2022-37900, CVE-2022-37901, CVE-2022-37902,
CVE-2022-37903, CVE-2022-37904, CVE-2022-37905,
CVE-2022-37906, CVE-2022-37907, CVE-2022-37908,
CVE-2022-37909, CVE-2022-37910, CVE-2022-37911,
CVE-2022-37912
Aruba モビリティコンダクター(旧モビリティマスター)、およびAruba モビリティコントローラーの製品で、
以下のファームウェアバージョンをご利用の場合、本脆弱性の影響を受けます。
・脆弱性の影響を受けるバージョン
- ArubaOS 6.5.4.x : 6.5.4.22 以下
- ArubaOS 8.6.x.x : 8.6.0.17 以下
- ArubaOS 8.7.x.x : 8.7.1.9 以下
- ArubaOS 10.3.x.x: 10.3.0.0
既にサポートが終了している製品バージョンにおきましても、
本脆弱性の影響を受ける可能性があります。
クリティカル脆弱性の影響
今回の脆弱性でCriticalレベルのものは下記になります。Highレベル以下のものはメーカページを参照ください。
・重要度:Critical
・CVSSv3スコア:9.8
PAPIプロトコルに存在するコマンドインジェクションの脆弱性
(CVE-2022-37897)
PAPI(Aruba Networks AP management protocol)8211/UDP宛に、細工されたパケットを送信することによって、リモートコード実行が可能となる
コマンドインジェクションの脆弱性があります。
脆弱性の悪用に成功した場合、基盤となっているオペレーティングシステム上で、特権ユーザーとして任意のコードが実行できるようになります。
対策
修正されたOSにバージョンアップが必要です。
- ArubaOS 6.5.4.x: 6.5.4.23 以上
- ArubaOS 8.6.x : 8.6.0.18 以上
- ArubaOS 8.7.x : 8.7.1.10 以上
- ArubaOS 8.10.x : 8.10.0.0 以上
- ArubaOS 10.3.x : 10.3.0.1 以上
まとめ
- ArubaOSに複数の脆弱性が出ている
- Criticalレベルの脆弱性もあるためバージョンアップ推奨
今回はHPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2022-37897~CVE-2022-37912)についてお知らせしました。
