原标题:Google大爆26个Aruba产品资安问题,Aruba已紧急释出更新修补漏洞
Google资安研究员Sven Blumenstein最近利用黑盒评估分析了Aruba产品后,总共发现有26个Aruba产品资安漏洞,範围从允许特定权限执行远端程式码的漏洞,乃至于有不安全的更新机制和凭证与私钥储存等。随后Aruba也释出软体更新并将这些漏洞正式通报为 CVE-2016-2031和CVE-2016-2032。
日前,网路厂商Aruba收到来自Google的通报指出,旗下产品存有数十个漏洞与安全瑕疵,其中还包括了一个来自无线网路设备核心作业系统ArubaOS的重大安全漏洞,将可能使得所有Aruba无线产品线都受到影响。Aruba则建议企业可依照其公布的Control Plane Security Best Practices文件,来提高无线网路装置安全防护,并也发布更新修补其余漏洞。
Aruba无线网路产品存有OS协定漏洞这总共26项被揭露的Aruba产品资安漏洞,其实是由一名Google资安研究员Sven Blumenstein最近利用黑盒评估分析了Aruba产品后发现的软体漏洞,範围从允许特定权限执行远端程式码的漏洞,乃至于有不安全的更新机制和凭证(Credential)与私钥储存等。随后Aruba也将这些漏洞正式通报为 CVE-2016-2031和CVE-2016-2032这2个漏洞编号。
Sven Blumenstein发现,Aruba无线网路产品会存在许多不安全风险的主因,大部份都是来自于ArubaOS PAPI协定漏洞造成的影响。PAPI是Aruba所开发的AP管理协定,可用来提供装置管理和控制功能,并使用在ArubaOS当中,ArubaOS则是做为Aruba所有无线网路设备的核心作业系统,因而只要有使用ArubaOS的Aruba无线网路产品都会受影响,且包含所有ArubaOS版本。
虽然在一般预设情况下,ArubaOS会使用PAPI内的网际网路安全协定(Internet Protocol Security,IPsec),来提供控制层安全(Control Plane Security,CPsec)机制的防护。不过Aruba后来调查后也发现,PAPI协定至今仍含有许多尚未修补的瑕疵,包括了MD5讯息摘要未收取正确验证、还有较弱的PAPI加密协定保护,以及目前所有Aruba无线网路装置在进行讯息验证时,都还使用同个静态密钥(Static-Key)来取用讯息,因而导致资安风险升高。
另一项与AirWave管理平台有关的漏洞,则是来自于AirWave 8.0管理介面下的系统元件RabbitMQ,会不经意地跳脱防火墙规则,而使得骇客可以利用曝露至网路外的2个TCP 埠15672与55672,来实行窃听活动。至于Instant AP软体漏洞则是会在用户登入帐户时,将凭证储存在浏览器历史记录,伺服器Log文件或代理Log文件中,因而容易产生传输安全方面的疑虑。
Aruba表示,目前针对以上26个漏洞或瑕疵已释出软体更新,并建议企业客户将AirWave管理平台升到最新8.2或更高版本,而Instant AP则可升上4.1.3.0 或4.2.3.1版本。至于ArubaOS PAPI漏洞部份,Aruba则建议企业可依照其公布的Control Plane Security Best Practices文件,来进行无线网路装置安全的设定,接下来,Aruba也将强化PAPI安全协定,例如採用DTLS等。
相关:
图片来源: Adobe Adobe正在修补Flash的重大(Critical)漏洞,并表示最快在今日(5/12)释出安全性更新。另外,Adobe在本周也释出了Adobe Reader与Acrobat及ColdFusion的修补程式。Adobe是由资安公司Fireeye的报告中
图片来源: Google Google在本周三(5/11)更新该公司的广告政策,将封锁所谓的「发薪日贷款」(payday loan)或是还款期限在60天以内,以及年利率超过36%的各种贷款广告,新政策可望于7月13日生效。「发薪日贷款」多
美国土安全部警告:骇客已对SAP旧漏洞展开攻击,至少36家企业受害
美国国土安全部旗下的美国电脑紧急事件应变小组(United States Computer Emergency Readiness Team,US-CERT)对美国企业发出警告,ERP大厂软体SAP一项旧漏洞遭到开採攻击,至少已有36家企业受害。?US-CERT指出,这
今天上午台湾东部外海发生芮式规模5.8地震,网购业者发现,许多卖家紧急上架地震防灾商品,热搜关键字前5名分别为地震包、急救包、哨子、手电筒及电池。露天拍卖观察,过去地震发生后相关关键字皆会倍增,以2月6日南
记者陈敬哲/台北报道今日上午宜兰发生芮式规模5.8地震,国家灾防通报系统首次发出讯息,然而相同手机、相同电信业者讯号,仍有部分人有收到、部分人没收到,国家通讯委员会强调,目前确认气象局至电信业者讯息通畅