阿鲁巴修补了网络设备缺陷

发布时间：2022-03-26 10:56:48 所属栏目：要闻来源：互联网

导读：无线网络设备制造商Aruba Networks在其软件中修复了多种漏洞，可以在某些情况下允许攻击者妥协设备。 Svens Blumenstein从Google Security团队中发现了漏洞，并影响Arubaos，Aruba的Airwave管理平台（AMP）和Aruba Instant（IAP）。存在26个不同的问题，从特

　　无线网络设备制造商Aruba Networks在其软件中修复了多种漏洞，可以在某些情况下允许攻击者妥协设备。

　　Svens Blumenstein从Google Security团队中发现了漏洞，并影响Arubaos，Aruba的Airwave管理平台（AMP）和Aruba Instant（IAP）。存在26个不同的问题，从特权远程代码执行范围到信息泄露，不安全更新机制和凭据和私钥的不安全存储。但是，Aruba将它们组合在两个CVE跟踪ID中：CVE-2016-2031和CVE-2016-2032。

　　所有受影响的软件包共享的常见问题与Aruba专有管理和控制协议被称为Papi的设计缺陷有关。　“PAPI协议包含许多未重复的缺陷，包括：收到后，PAPI加密协议未正确验证MD5消息摘要;所有Aruba设备都使用常见的静态键进行消息验证，“Aruba在咨询中表示。

　　这些问题的影响因网络配置而有所不同，但该公司是一家惠普Packard Enterprise子公司，计划在今年晚些时候在阿鲁巴瞬发和航空管理平台中修复它们。

　　该公司表示，计划更新将改变PAPI，以便在安全频道内运营，例如DTLS或IPSec，如DTLS或IPSec。在此之前，客户可以应用包含在公司支持门户网站上发布的“控制平面安全最佳实践”文件中的建议。

　　大多数其他缺陷都在IAP 4.1.3.0和4.2.3.1和AMP 8.2.0中固定。IAP中有两个问题，阿鲁巴不考虑安全漏洞，而是因为他们“不符合行业最佳实践，公司将在未来的更新中修复它们。

　　其中一个源于使用静态密码进行工程支持模式，提供额外的配置和诊断功能，误用可能导致AP硬件的物理损坏。此模式只能从经过身份验证的管理会话访问，因此潜在的攻击者已经需要访问管理凭据。

　　另一个问题源于使用静态密钥来加密存储在IAP配置文件中的所有密码。如果这样的文件被盗，攻击者可以撤消工程师的平台代码来提取密钥并解密密码。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!