Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Versions antèrieures à ArubaOS 5.0.4.2 ;
- Versions antèrieures à ArubaOS 6.0.2.1 ;
- Versions antèrieures à ArubaOS 6.1.2.4.
Résumé
Deux vulnérabilités ont été corrigées dans ArubaOS. L'exploitation de ces vulnérabilités pouvait conduire à une prise de contrôle totale sur le système distant.
Description
La première vulnérabilité est située dans l'interface Web de diagnostic réseau. Une injection de commande à distance peut être utilisée pour exécuter des actions avec le compte utilisateur « root ». La deuxième vulnérabilité affecte le composant EAP-TLS 802.1X et peut autoriser l'accès au réseau à un utilisateur non désiré.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Aruba Networks AID-031912 http://www.arubanetworks.com/support/alerts/aid-031912.asc