HPE InstantOS および ArubaOS 10に存在する複数のセキュリティ脆弱性(CVE-2023-22779~CVE-2023-22786)
こんにちは。ネットワークソリューション特集 編集部です。
今回は、HPE InstantOS および ArubaOS 10に存在する複数のセキュリティ脆弱性(CVE-2023-22779~CVE-2023-22786)についてお知らせします。
メーカリリース、対象OS
複数の脆弱性が見つかっています。
Advisory ID: ARUBA-PSA-2023-006
CVE: CVE-2023-22779, CVE-2023-22780, CVE-2023-22781,
CVE-2023-22782, CVE-2023-22783, CVE-2023-22784,
CVE-2023-22785, CVE-2023-22786, CVE-2023-22787,
CVE-2023-22788, CVE-2023-22789, CVE-2023-22790,
CVE-2023-22791
Aruba モビリティコンダクター、モビリティコントローラー、モビリティコントローラーで管理しているAccess Pointは脆弱性の対象外です。
・脆弱性の影響を受けるバージョン
- Aruba InstantOS 6.4.x: 6.4.4.8-4.2.4.20 以下
- Aruba InstantOS 6.5.x: 6.5.4.23 以下
- Aruba InstantOS 8.6.x: 8.6.0.19 以下
- Aruba InstantOS 8.10.x: 8.10.0.4 以下
- ArubaOS 10.3.x: 10.3.1.0 以下
既にサポートが終了している製品バージョンにおきましても、本脆弱性の影響を受ける可能性があります。
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
クリティカル脆弱性の影響
今回の脆弱性でCriticalレベルのものは下記になります。Highレベル以下のものはメーカページを参照ください。
- 重要度:Critical
- CVSSv3スコア:9.8
PAPIプロトコルに存在するバッファオーバーフローの脆弱性
(CVE-2023-22779, CVE-2023-22780, CVE-2023-22781,CVE-2023-22782, CVE-2023-22783, CVE-2023-22784,CVE-2023-22785, CVE-2023-22786)
PAPI(Aruba Networks AP management protocol)8211/UDP宛に、細工されたパケットを送信することによって、複数の基盤となっているサービスに対して、リモートコード実行が可能となるバッファオーバーフロー脆弱性があります。脆弱性の悪用に成功した場合、基盤となっているオペレーティングシステム上で、特権ユーザーとして任意のコードが実行できるようになります。
対策
修正されたOSにバージョンアップが必要です。
- Aruba InstantOS 8.10.x: 8.10.0.5 以上
- Aruba InstantOS 8.11.x: 8.11.0.0 以上
- ArubaOS 10.4.x: 10.4.0.0 以上
クラスタセキュリティを有効にするワークアラウンド対応があります。
まとめ
- ArubaOSに複数の脆弱性が出ている
- Criticalレベルの脆弱性はワークアラウンド対応も可能
今回はHPE InstantOS および ArubaOS 10に存在する複数のセキュリティ脆弱性(CVE-2023-22779~CVE-2023-22786)についてお知らせしました。
