阿鲁巴修复了网络设备缺陷
无线网络设备制造商Aruba Networks在其软件中修复了多种漏洞,可以在某些情况下允许攻击者妥协设备。
Svens Blumenstein从Google Security团队中发现了漏洞,并影响Arubaos,Aruba的Airwave管理平台(AMP)和Aruba Instant(IAP)。
存在26个不同的问题,从特权远程代码执行范围到信息泄露,不安全更新机制和凭据和私钥的不安全存储。但是,Aruba将它们组合在两个CVE跟踪ID中:CVE-2016-2031和CVE-2016-2032。
所有受影响的软件包共享的常见问题与Aruba专有管理和控制协议被称为Papi的设计缺陷有关。
“PAPI协议包含许多未重复的缺陷,包括:收到后,PAPI加密协议未正确验证MD5消息摘要;所有Aruba设备都使用常见的静态键进行消息验证,“Aruba在咨询中表示。
这些问题的影响因网络配置而有所不同,但该公司是一家惠普Packard Enterprise子公司,计划在今年晚些时候在阿鲁巴瞬发和航空管理平台中修复它们。
该公司表示,计划更新将改变PAPI,以便在安全频道内运营,例如DTLS或IPSec,如DTLS或IPSec。在此之前,客户可以应用包含在公司支持门户网站上发布的“控制平面安全最佳实践”文件中的建议。
大多数其他缺陷都在IAP 4.1.3.0和4.2.3.1和AMP 8.2.0中固定。
IAP中有两个问题,阿鲁巴不考虑安全漏洞,而是因为他们“不符合行业最佳实践,公司将在未来的更新中修复它们。
其中一个源于使用静态密码进行工程支持模式,提供额外的配置和诊断功能,误用可能导致AP硬件的物理损坏。此模式只能从经过身份验证的管理会话访问,因此潜在的攻击者已经需要访问管理凭据。
另一个问题源于使用静态密钥来加密存储在IAP配置文件中的所有密码。如果这样的文件被盗,攻击者可以撤消工程师的平台代码来提取密钥并解密密码。
