HPE InstantOS および ArubaOS 10に存在する複数のセキュリティ脆弱性(CVE-2023-45614, CVE-2023-45615,CVE-2023-45616)
こんにちは。ネットワークソリューション特集 編集部です。
今回は、HPE InstantOS および ArubaOS 10に存在する複数のセキュリティ脆弱性(CVE-2023-45614, CVE-2023-45615,CVE-2023-45616)についてお知らせします。
メーカリリース、対象OS
複数の脆弱性が見つかっています。
Advisory ID: ARUBA-PSA-2023-017
CVE: CVE-2023-45614, CVE-2023-45615, CVE-2023-45616,
CVE-2023-45617, CVE-2023-45618, CVE-2023-45619,
CVE-2023-45620, CVE-2023-45621, CVE-2023-45622,
CVE-2023-45623, CVE-2023-45624, CVE-2023-45625,
CVE-2023-45626, CVE-2023-45627
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
Aruba モビリティコンダクター、モビリティコントローラー、モビリティコントローラーで管理しているAccess Pointは脆弱性の対象外です。
・脆弱性の影響を受けるバージョン
- ArubaOS 10.5.x.x: 10.5.0.0 と以下のバージョン
- ArubaOS 10.4.x.x: 10.4.0.2 と以下のバージョン
- InstantOS 8.11.x.x: 8.11.1.2 と以下のバージョン
- InstantOS 8.10.x.x: 8.10.0.8 と以下のバージョン
- InstantOS 8.6.x.x: 8.6.0.22 と以下のバージョン
既にサポートが終了している製品バージョンにおきましても、本脆弱性の影響を受ける可能性があります。
クリティカル脆弱性の影響
今回の脆弱性でCriticalレベルのものは下記になります。Highレベル以下のものはメーカページを参照ください。
CVE-2023-45614、CVE-2023-45615
- 重要度:Critical
- CVSSv3スコア:9.8
CLI サービスの未認証バッファ オーバーフローの脆弱性 PAPI プロトコルによってアクセスされる
(CVE-2023-45614、CVE-2023-45615)
CLIサービスにバッファオーバーフローの脆弱性がありPAPI(Arubaのアクセスポイント管理プロトコル)UDPポート(8211)にこれらの脆弱性の悪用に成功すると特権ユーザーとして任意のコードを実行できるようになります。
CVE-2023-45616
- 重要度:Critical
- CVSSv3スコア:9.8
AirWaveクライアントにおける未認証バッファオーバーフローの脆弱性PAPI プロトコルによってアクセスされるサービス
(CVE-2023-45616)
AirWaveクライアントサービスにバッファオーバーフローの脆弱性がありPAPI(Arubaのアクセスポイント管理プロトコル)UDPポート(8211)にこれらの脆弱性の悪用に成功すると特権ユーザーとして任意のコードを実行できるようになります。
対策
修正されたOSにバージョンアップが必要です。
- ArubaOS 10.5.x.x: 10.5.0.1 以上
- ArubaOS 10.4.x.x: 10.4.0.3 以上
- InstantOS 8.11.x.x: 8.11.2.0 以上
- InstantOS 8.10.x.x: 8.10.0.9 以上
- InstantOS 8.6.x: 8.6.0.23 以上
クラスタセキュリティを有効にするワークアラウンド対応があります。
まとめ
- ArubaOSに複数の脆弱性が出ている
- Criticalレベルの脆弱性はワークアラウンド対応も可能
今回はHPE InstantOS および ArubaOS 10に存在する複数のセキュリティ脆弱性(CVE-2023-45614, CVE-2023-45615,CVE-2023-45616)についてお知らせしました。