Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en ArubaOS de HPE

Múltiples vulnerabilidades en ArubaOS de HPE

Fecha de publicación: 
01/09/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • ArubaOS, versiones anteriores a la 8.8.0.1, 8.7.1.4, 8.6.0.11, 8.5.0.13, 8.3.0.16, 6.5.4.20 y 6.4.4.25;
  • Software y pasarelas SD-WAN, versiones anteriores a la 8.7.0.0-2.3.0.0 y 8.6.0.4-2.2.0.6.

Los siguientes productos también están afectados al haber llegado al final de su vida útil:

  • ArubaOS 8.0.xx,
  • ArubaOS 8.1.xx,
  • ArubaOS 8.2.xx,
  • ArubaOS 8.4.xx,
  • SD-WAN 1.0.xx,
  • SD-WAN 2.0.xx,
  • SD-WAN 2.1.xx,
Descripción: 
Aruba ha publicado parches para una vulnerabilidad de severidad crítica, nueve de severidad alta y cinco de severidad media, que podrían permitir a un atacante remoto causar una condición de denegación de servicio, la ejecución de código arbitrario con privilegios o comprometer la integridad y confidencialidad de archivos del sistema.
Solución: 

Productos ArubaOS:

  • para versiones 8.3.0.x, actualizar a 8.3.0.15 o superior;
  • para versiones 8.5.0.x, actualizar a 8.5.0.12 o superior;
  • para versiones 8.6.0.x, actualizar a 8.6.0.8 o superior;
  • para versiones 8.7.x.x, actualizar a 8.7.1.2 o superior;
  • para versiones 8.8.0.x, actualizar a 8.8.0.0 o superior.

Productos SD-WAN:

  • para versiones 2.2.x.x, actualizar a 8.6.0.4-2.2.0.4 o superior;
  • para versiones 2.3.x.x, actualizar a 8.7.0.0-2.3.0.0 o superior.

En cuanto a los productos que finalizan su vida útil se recomienda migrar a otro producto compatible, siguiendo las indicaciones del fabricante.

Detalle: 

Una vulnerabilidad de desbordamiento de búfer en el protocolo PAPI (Aruba Networks AP management protocol) podría permitir a un atacante, remoto y no autenticado, la ejecución de código en el sistema operativo subyacente o causar una condición de denegación de servicio, mediante el envío de paquetes especialmente diseñados al puerto UDP (8211) de los dispositivos que ejecutan ArubaOS. Se ha asignado el identificador CVE-2021-37716 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-37717, CVE-2021-37718, CVE-2021-37719, CVE-2021-37720, CVE-2021-37721, CVE-2021-37722, CVE-2021-37723, CVE-2021-37724 y CVE-2021-37725.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2019-5318, CVE-2021-37728, CVE-2021-37729, CVE-2021-37731 y CVE-2021-37733.

Encuesta valoración