2022-2147: ArubaOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Administratorrechten

Historie:

Version 1 (2022-09-29 13:22): Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Aruba

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des Administrators auszuführen, Cross-Site-Scripting (XSS)-Angriffe und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf die Aruba InstantOS Versionen 6.4.4.8-4.2.4.21, 6.5.4.24, 8.6.0.19, 8.7.1.10, 8.10.0.2 und die ArubaOS Version 10.3.1.1 und höher.

Schwachstellen:

CVE-2002-20001

Schwachstelle im Diffie-Hellman-Schlüsselaustausch ermöglicht Denial-of-Service-Angriff

CVE-2022-37885 CVE-2022-37886 CVE-2022-37887 CVE-2022-37888 CVE-2022-37889

Schwachstellen in ArubaOS ermöglichen Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2022-37890 CVE-2022-37891

Schwachstellen in ArubaOS ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-37892

Schwachstelle in ArubaOS ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-37893

Schwachstelle in ArubaOS ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-37894

Schwachstelle in ArubaOS ermöglicht Denial-of-Service-Angriff

CVE-2022-37895