2019-1835: Aruba Mobility Controller, ArubaOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Systemrechten

Historie:

Version 1 (2019-09-04 18:06)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Aruba

Beschreibung:

Zwei Schwachstellen in verschiedenen Komponenten von ArubaOS auf Aruba Mobility Controllern ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode mit Systemrechten zur Ausführungen zu bringen, was zu einer kompletten Systemübernahme durch den Angreifer führen kann. Das Bewirken eines Denial-of-Service (DoS)-Zustandes und die Durchführung eines Cross-Site-Scripting (XSS)- oder CRLF-Injektion-Angriffs. Eine weitere Schwachstelle erlaubt einem entfernten, einfach authentisierten Administrator, als Angreifer, das Ausführen beliebiger Befehle auf dem Betriebssystem.

Der Hersteller bestätigt die Schwachstelle für Aruba Mobility Controller, die ArubaOS in den Versionen 6.x vor 6.4.4.21, 6.5.x vor 6.5.4.13, 8.x vor 8.2.2.6, 8.3.0.x vor 8.3.0.7 und 8.4.0.x vor 8.4.0.3 einsetzen. Zudem steht die fehlerbereinigte ArubaOS Version 8.5.0.0 als Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2018-7081

Schwachstelle in ArubaOS ermöglicht Ausführen beliebigen Programmcodes mit Systemrechten

CVE-2019-5314

Schwachstelle in ArubaOS ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2019-5315

Schwachstelle in ArubaOS ermöglicht Ausführen beliebiger Befehle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.