検出

ArubaOS < 8.10.0.10 / 8.11.2.1 / 10.4.1.0 / 10.5.1.0 の複数の脆弱性 (ARUBA-PSA-2024-002)

critical Nessus プラグイン ID 191712

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている ArubaOS のバージョンは、8.10.0.10 より前の 8.x、8.11.2.1 より前の 8.11、10.4.1.0 より前の 10.4、または 10.5.1.0 より前の 10.5 です。そのため、以下を含む複数の脆弱性による影響を受けます。

 - 認証されたコマンドインジェクションの脆弱性が、ArubaOS のコマンドラインインターフェースに存在します。これらの脆弱性の悪用に成功すると、下層のオペレーティングシステムで権限のあるユーザーとして任意のコマンドを実行できるようになります。(CVE-2024-1356、CVE-2024-25611、CVE-2024-25612、CVE-2024-25613)

 - ArubaOS が使用する CLI に、任意のファイル削除の脆弱性があります。この脆弱性の悪用に成功すると、基盤となるオペレーティングシステムで任意のファイルを削除できるようになり、サービス拒否状態が発生したり、コントローラーの整合性に影響が出たりする可能性があります。(CVE-2024-25614)
- ArubaOS 8.x の PAPI プロトコルを介してアクセスされる Spectrum サービスに、認証されていないサービス拒否 (DoS) の脆弱性があります。この脆弱性の悪用に成功すると、影響を受けるサービスの通常の操作が中断される可能性があります。(CVE-2024-25615)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ベンダーのアドバイザリで言及されている、ArubaOS バージョンにアップグレードしてください。

参考資料

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-002.txt

プラグインの詳細

深刻度: Critical

ID: 191712

ファイル名: arubaos-aruba-psa-2024-002.nasl

バージョン: 1.3

タイプ: combined

ファミリー: Misc.

公開日: 2024/3/7

更新日: 2025/7/29

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:C

CVSS スコアのソース: CVE-2024-25614

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:arubanetworks:arubaos, cpe:/o:hp:arubaos

必要な KB アイテム: installed_sw/ArubaOS

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/3/5

脆弱性公開日: 2024/3/5

参照情報

CVE: CVE-2024-1356, CVE-2024-25611, CVE-2024-25612, CVE-2024-25613, CVE-2024-25614, CVE-2024-25615, CVE-2024-25616

IAVA: 2024-A-0136-S