阿鲁巴修补了可以打开黑客门的网络设备缺陷

发布时间：2021-11-13 10:59 所属栏目：125 来源：互联网

导读：无线网络设备制造商Aruba Networks在其软件中修复了多种漏洞，可以在某些情况下允许攻击者妥协设备。 Svens Blumenstein从Google Security团队中发现了漏洞，并影响Arubaos，Aruba的Airwave管理平台（AMP）和Aruba Instant（IAP）。存在26个不同的问题，从特

无线网络设备制造商Aruba Networks在其软件中修复了多种漏洞，可以在某些情况下允许攻击者妥协设备。

Svens Blumenstein从Google Security团队中发现了漏洞，并影响Arubaos，Aruba的Airwave管理平台（AMP）和Aruba Instant（IAP）。

存在26个不同的问题，从特权远程代码执行范围到信息泄露，不安全更新机制和凭据和私钥的不安全存储。但是，Aruba将它们组合在两个CVE跟踪ID下：CVE-2016-2031和CVE-2016-2032。

所有受影响的软件包共享的常见问题与Aruba专有管理和控制协议被称为Papi的设计缺陷有关。

“PAPI协议包含许多未重复的缺陷，包括：收到后，PAPI加密协议未正确验证MD5消息摘要;所有Aruba设备都使用常见的静态键进行消息验证，“Aruba是一个惠普企业子公司，在一个咨询中表示。

这些问题的影响因网络配置而有所不同，但该公司计划在今年晚些时候在阿鲁巴瞬发和航空管理平台中修复它们。

该公司表示，计划更新将改变PAPI，以便在安全频道内运营，例如DTLS或IPSec，如DTLS或IPSec。在此之前，客户可以应用包含在公司支持门户网站上发布的“控制平面安全最佳实践”文件中的建议。

大多数其他缺陷都在IAP 4.1.3.0和4.2.3.1和AMP 8.2.0中固定。

（编辑：ASP站长网）