Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- ArubaOS versions 6.x versions antérieures à 6.4.4.21
- ArubaOS versions 6.5.x versions antérieures à 6.5.4.13
- ArubaOS versions 8.x versions antérieures à 8.2.2.6
- ArubaOS versions 8.3.0.x versions antérieures à 8.3.0.7
- ArubaOS versions 8.4.0.x versions antérieures à 8.4.0.3
Résumé
De multiples vulnérabilités ont été découvertes dans ArubaOS. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité ArubaOS du 03 septembre 2019
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2019-004.txt - Référence CVE CVE-2018-7081
https://www.cve.org/CVERecord?id=CVE-2018-7081 - Référence CVE CVE-2019-5314
https://www.cve.org/CVERecord?id=CVE-2019-5314 - Référence CVE CVE-2019-5315
https://www.cve.org/CVERecord?id=CVE-2019-5315