DFN-CERT

Advisory-Archiv

2021-1887: ArubaOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-09-09 09:51)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Aruba

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in ArubaOS aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode zur Ausführung zu bringen, beliebige Befehle auf dem zugrundeliegenden Betriebssystem auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um Dateien zu manipulieren und auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche, großteils erweiterte Privilegien erforderlich. Zwei Schwachstellen erfordern für die erfolgreiche Ausnutzung die Interaktion eines Benutzers.

Der Hersteller stellt die ArubaOS Versionen 6.4.4.25, 6.5.4.20, 8.3.0.16, 8.5.0.13, 8.6.0.11, 8.7.1.4 und 8.8.0.1 als Sicherheitsupdates zur Verfügung. Die Schwachstelle CVE-2019-5318 betrifft auch die ArubaOS Versionen 6.x.x.x, wird aber erst mit der Version 8.8.0.0 adressiert, besteht demnach auch in den vom Hersteller benannten 6er-Versionszweig-Sicherheitsupdates.

Die ArubaOS Versionszweige 8.0.x.x, 8.1.x.x, 8.2.x.x und 8.4.x.x sind 'End-of-Life'-Versionen, die vom Hersteller nicht länger gepflegt werden und als durch die Schwachstellen verwundbar angesehen werden müssen, auch wenn sie in den einzelnen Schwachstellen nicht explizit aufgeführt werden. Zur Behebung der Schwachstellen in diesen Versionszweigen muss auf eine unterstützte Version aktualisiert werden.

Schwachstellen:

CVE-2019-5318

Schwachstelle in ArubaOS ermöglicht Denial-of-Service-Angriff

CVE-2021-37716

Schwachstelle in ArubaOS ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2021-37717 CVE-2021-37718

Schwachstellen in ArubaOS ermöglichen Ausführen beliebiger Befehle

CVE-2021-37719 CVE-2021-37720 CVE-2021-37721 CVE-2021-37722

Schwachstellen in ArubaOS ermöglichen Ausführen beliebiger Befehle

CVE-2021-37723 CVE-2021-37724

Schwachstellen in ArubaOS ermöglichen Ausführen beliebiger Befehle

CVE-2021-37725

Schwachstelle in ArubaOS ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2021-37728

Schwachstelle in ArubaOS ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-37729

Schwachstelle in ArubaOS ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-37731

Schwachstelle in ArubaOS ermöglicht Manipulation und Ausspähen von Dateien

CVE-2021-37733

Schwachstelle in ArubaOS ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.