阿鲁巴修复了网络设备缺陷
思科重原核心路由和切换认证,以锐化在SDN,IOT上的焦点
美国贸易机构调查了七家智能手机公司
白色盒子设置为转移服务器购买习惯
亚马逊Kindle Oasis是否属于您的笔记本电脑包?
隐私权倡导者希望保护美国居民的外国监测法
Inmarsat和Actenty构建远程应用程序的IoT网络
接受一切都是破坏的,商业被告知
黑客Ghostshell返回,从32家公司泄露数据,其中包含开放的FTP目录
Verizon报告显示,数据漏洞影响了所有业务部分
微软承诺在其数据中心中使用更可再生能源
NSPCC CIO在将混合云与托管服务组合起来,以提高儿童弹性弹性
随着iPhone销售秋季,Apple突出了记录服务收入
印度为手机制作了有“恐慌按钮”的强制性
东盟储存走向混合模型
IoT安全窗口关闭
暗示游击队营销 - 财务框架推出了PSA社区
Dyn Scoops Up现金使互联网成为更快的地方 - 那种
Dropbox和Google提交提高云存储客户的使用条款
“黑匣子”不再:该系统可以发现这些算法中的偏差
2017年开设四个新网站,IBM到英国数据中心足迹的三倍大小
U.S.揭示了20米H-1B欺诈计划
萨里县议会捕获宽带3.8米的收益股票意外收获
伦敦西北医疗保健NHS信任患者流量掌握
教育是垂直保存下拉箱的垂直吗?
惠普公司:一年的差异
超过100国会议员要求奥巴马停止引渡劳里爱的引渡
一些美国政府机构仍在使用Windows 3.1和1970年代的计算机
Cloud Co更喜欢TINTRI Hybrid闪光到戴尔,Dothill和NetApp
Thomson路透到AX多个它的角色
微软的IE为谷歌的Chrome丢失了顶级浏览器
儿童应教授弹性和解决方法来处理数字中断
65米Tumblr账户记录在地下市场上出售
Hyperscale Datacentre Growers看到OEM硬件飙升的需求,研究表明
磁带备份:经常老和困惑,但相当便宜
技术性别平价:我们不能没有人的支持
谷歌正在用新的Allo应用程序拍摄邮件
AMD重新进入SSD,具有Radeon R3驱动器
小组诉讼在地平线系统争议的邮局准备下一阶段
确认的:Windows 10免费升级将于7月29日结束
谷歌的欧盟反垄断问题可以通过Getty Images'投诉更复杂
许多公司在数字时代的客户经验中失败
这款贴纸可以无线充电您的智能手机或平板电脑
Cloud28 +将其云目录转换为企业应用商店
Telenor IoT策略需要核心软件更改
圣地亚哥,圣杰斯,旧金山,达到100%可再生能源
在CES,网络公司将千兆连接到汽车制造商
英国科技的女性比男性同行减少9%
EMC世界用云备份和更便宜的闪存阵列启动
U.S.拟议的中国法规可以将互联网碎片。
您的位置:首页 >科技 > 技术前沿 >

阿鲁巴修复了网络设备缺陷

2021-07-01 19:44:21 [来源]:

无线网络设备制造商Aruba Networks在其软件中修复了多种漏洞,可以在某些情况下允许攻击者妥协设备。

Svens Blumenstein从Google Security团队中发现了漏洞,并影响Arubaos,Aruba的Airwave管理平台(AMP)和Aruba Instant(IAP)。

存在26个不同的问题,从特权远程代码执行范围到信息泄露,不安全更新机制和凭据和私钥的不安全存储。但是,Aruba将它们组合在两个CVE跟踪ID中:CVE-2016-2031和CVE-2016-2032。

所有受影响的软件包共享的常见问题与Aruba专有管理和控制协议被称为Papi的设计缺陷有关。

“PAPI协议包含许多未重复的缺陷,包括:收到后,PAPI加密协议未正确验证MD5消息摘要;所有Aruba设备都使用常见的静态键进行消息验证,“Aruba在咨询中表示。

这些问题的影响因网络配置而有所不同,但该公司是一家惠普Packard Enterprise子公司,计划在今年晚些时候在阿鲁巴瞬发和航空管理平台中修复它们。

该公司表示,计划更新将改变PAPI,以便在安全频道内运营,例如DTLS或IPSec,如DTLS或IPSec。在此之前,客户可以应用包含在公司支持门户网站上发布的“控制平面安全最佳实践”文件中的建议。

大多数其他缺陷都在IAP 4.1.3.0和4.2.3.1和AMP 8.2.0中固定。

IAP中有两个问题,阿鲁巴不考虑安全漏洞,而是因为他们“不符合行业最佳实践,公司将在未来的更新中修复它们。

其中一个源于使用静态密码进行工程支持模式,提供额外的配置和诊断功能,误用可能导致AP硬件的物理损坏。此模式只能从经过身份验证的管理会话访问,因此潜在的攻击者已经需要访问管理凭据。

另一个问题源于使用静态密钥来加密存储在IAP配置文件中的所有密码。如果这样的文件被盗,攻击者可以撤消工程师的平台代码来提取密钥并解密密码。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。