ArubaOS < 8.10.0.10 / 8.11.2.1 / 10.4.1.0 / 10.5.1.0 の複数の脆弱性 (ARUBA-PSA-2024-002)
high Nessus プラグイン ID 191712
Language:
概要
リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている ArubaOS のバージョンは、8.10.0.10 より前の 8.x、8.11.2.1 より前の 8.11、10.4.1.0 より前の 10.4、または 10.5.1.0 より前の 10.5 です。そのため、以下を含む複数の脆弱性による影響を受けます。- 認証されたコマンドインジェクションの脆弱性が、ArubaOS のコマンドラインインターフェースに存在します。これらの脆弱性の悪用に成功すると、下層のオペレーティングシステムで権限のあるユーザーとして任意のコマンドを実行できるようになります。(CVE-2024-1356、CVE-2024-25611、CVE-2024-25612、CVE-2024-25613)
- ArubaOS が使用する CLI に、任意のファイル削除の脆弱性があります。この脆弱性の悪用に成功すると、基盤となるオペレーティングシステムで任意のファイルを削除できるようになり、サービス拒否状態が発生したり、コントローラーの整合性に影響が出たりする可能性があります。(CVE-2024-25614)
- ArubaOS 8.x の PAPI プロトコルを介してアクセスされる Spectrum サービスに、認証されていないサービス拒否 (DoS) の脆弱性があります。この脆弱性の悪用に成功すると、影響を受けるサービスの通常の操作が中断される可能性があります。(CVE-2024-25615)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
ベンダーのアドバイザリで言及されている、ArubaOS バージョンにアップグレードしてください。参考資料
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt
プラグインの詳細
深刻度: High
ID: 191712
ファイル名: arubaos-aruba-psa-2024-002.nasl
バージョン: 1.2
タイプ: combined
ファミリー: Misc.
公開日: 2024/3/7
更新日: 2024/5/2
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.3
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:C/A:C
CVSS スコアのソース: CVE-2024-25611
CVSS v3
リスクファクター: High
基本値: 7.2
現状値: 6.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2024-25613
脆弱性情報
CPE: cpe:/o:arubanetworks:arubaos, cpe:/o:hp:arubaos
必要な KB アイテム: installed_sw/ArubaOS
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/3/5
脆弱性公開日: 2024/3/5
参照情報
CVE: CVE-2024-1356, CVE-2024-25611, CVE-2024-25612, CVE-2024-25613, CVE-2024-25614, CVE-2024-25615, CVE-2024-25616
IAVA: 2024-A-0136-S