Objet: Multiples vulnérabilités dans les produits Aruba

Risque(s)

• Exécution de code arbitraire à distance
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Élévation de privilèges
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• ClearPass Policy Manager versions 6.10.x antérieures à 6.10.5
• ClearPass Policy Manager versions 6.9.antérieures à 6.9.10
• ClearPass Policy Manager versions 6.8.x antérieures à 6.8.9-HF3
• AirWave Management Platform versions antérieures à  8.2.14.1
• Aruba Fabric Composer (AFC) versions antérieures à 6.2.1
• Plexxi Composable Fabric Manager (CFM) versions antérieures à 6.2.1
• Silver Peak Orchestrator toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Aruba. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Aruba ARUBA-PSA-2022-009 du 04 mai 2022
  https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-009.txt
• Bulletin de sécurité Aruba ARUBA-PSA-2022-007 du 04 mai 2022
  https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-007.txt
• Référence CVE CVE-2022-0778
  https://www.cve.org/CVERecord?id=CVE-2022-0778
• Référence CVE CVE-2021-21419
  https://www.cve.org/CVERecord?id=CVE-2021-21419
• Référence CVE CVE-2021-33503
  https://www.cve.org/CVERecord?id=CVE-2021-33503
• Référence CVE CVE-2022-23657
  https://www.cve.org/CVERecord?id=CVE-2022-23657
• Référence CVE CVE-2022-23658
  https://www.cve.org/CVERecord?id=CVE-2022-23658
• Référence CVE CVE-2022-23659
  https://www.cve.org/CVERecord?id=CVE-2022-23659
• Référence CVE CVE-2022-23660
  https://www.cve.org/CVERecord?id=CVE-2022-23660
• Référence CVE CVE-2022-23661
  https://www.cve.org/CVERecord?id=CVE-2022-23661
• Référence CVE CVE-2022-23662
  https://www.cve.org/CVERecord?id=CVE-2022-23662
• Référence CVE CVE-2022-23663
  https://www.cve.org/CVERecord?id=CVE-2022-23663
• Référence CVE CVE-2022-23664
  https://www.cve.org/CVERecord?id=CVE-2022-23664
• Référence CVE CVE-2022-23665
  https://www.cve.org/CVERecord?id=CVE-2022-23665
• Référence CVE CVE-2022-23666
  https://www.cve.org/CVERecord?id=CVE-2022-23666
• Référence CVE CVE-2022-23667
  https://www.cve.org/CVERecord?id=CVE-2022-23667
• Référence CVE CVE-2022-23668
  https://www.cve.org/CVERecord?id=CVE-2022-23668
• Référence CVE CVE-2022-23669
  https://www.cve.org/CVERecord?id=CVE-2022-23669
• Référence CVE CVE-2022-23670
  https://www.cve.org/CVERecord?id=CVE-2022-23670
• Référence CVE CVE-2022-23671
  https://www.cve.org/CVERecord?id=CVE-2022-23671
• Référence CVE CVE-2022-23672
  https://www.cve.org/CVERecord?id=CVE-2022-23672
• Référence CVE CVE-2022-23673
  https://www.cve.org/CVERecord?id=CVE-2022-23673
• Référence CVE CVE-2022-23674
  https://www.cve.org/CVERecord?id=CVE-2022-23674
• Référence CVE CVE-2022-23675
  https://www.cve.org/CVERecord?id=CVE-2022-23675
• Référence CVE CVE-2021-23665
  https://www.cve.org/CVERecord?id=CVE-2021-23665