HPE Aruba ออกแพทช์อุดช่องโหว่ซอฟต์แวร์กว่า 26 รายการ 

hpe_aruba_logo

HPE Aruba ประกาศ Security Advisories สำคัญ 3 รายการ สำหรับให้คำแนะนำเพื่ออุดช่องโหว่ทั้งหมด 26 รายการที่ทางบริษัทระบุว่าจำเป็นต้องรีบจัดการ “โดยด่วน” ซึ่งช่องโหว่เหล่านี้ถูกค้นพบบน ArubaOS PAPI, Aruba Instant และ AirWave Management Platform

ArubaOS PAPI

ช่องโหว่ที่ค้นพบบน ArubaOS PAPI management API ชี้ให้เห็นชัดเจนว่า PAPI ไม่ใช่โปรโตคอลที่มีความมั่นคงปลอดภัย ซึ่งก่อนหน้านี้ HPE Aruba ได้เคยกล่าวถึงปัญหาของ PAPI มาแล้ว แต่ช่องโหว่ที่ค้นพบกลับลงลึกไปกว่านั้น เช่น

  • MD5 Message Digest ไม่ได้ถูกยืนยันอย่างเหมาะสมจากฝั่งรับ
  • โปรโตคอลการเข้ารหัส PAPI ไม่แข็งแกร่งเพียงพอ
  • อุปกรณ์ HPE Aruba ทุกชนิดใช้ Static Key ทั่วไปในการยืนยันข้อความ

HPE Aruba ระบุว่า ลูกค้าทุกคนควรอ่านวิธีแก้ไขปัญหาและเพิ่มความมั่นคงปลอดภัยให้แก่ PAPI บน Control Plane Security Best Practices ซึ่งดูได้จากเว็บ Aruba Support

รายละเอียดเพิ่มเติม: http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-006.txt

Aruba Instant

ช่องโหว่ทั้งหมดของ Aruba Instant ได้รับรหัส CVE-2016-2031 ซึ่งอุดช่องโหว่ได้โดยการอัพเดทเฟิร์มแวร์ของ IAP ไปเป็นเวอร์ชัน 4.3.2.1 หรือ 4.1.3.0 (ขึ้นอยู่กับว่า IAP รันเวอร์ชันไหนอยู่) โดยแพทช์ดังกล่าวช่วยแก้ไขบั๊คหลายประการ ได้แก่

  • การรับส่งข้อมูลล็อกอินที่ไม่ปลอดภัย (ใช้ HTTP GET)
  • ปัญหาเรื่อง Static Password บน Support Mode ซึ่งทาง HPE Aruba มองว่าไม่เป็นช่องโหว่ แต่ก็ได้มีการแก้ไขโดยเพิ่มการทำ Challenge-Reponse เข้าไป
  • ช่องโหว่ Remote Code Execution
  • การรั่วไหลของข้อมูลและบั๊คบนการอัพเดทเฟิร์มแวร์
  • ปัญหาเรื่อง Certificate ที่มีการ Hard Code กุญแจสำหรับเข้ารหัสลงไป
  • ปัญหาเรื่อง Static Key ที่ใช้เข้ารหัสรหัสผ่านของผู้ใช้

รายละเอียดเพิ่มเติม: http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-004.txt

AirWave Management Platform

เวอร์ชันที่ได้รับผลกระทบคือ 8.x ก่อนหน้าเวอร์ชัน 8.2 ซึ่งช่องโหว่บน AirWave ได้รับรหัส CVE-2016-2032 ประกอบด้วย

  • อินเทอร์เฟสสำหรับบริหารจัดการ RabbitMQ ถูกเปิดเผย
  • XSRF Token ถูกสร้างไม่แข็งแรงเพียงพอ
  • สามารถเข้าถึง NTP Configuration File เพื่อแก้ไขการตั้งเวลาได้

HPE ระบุว่า ผู้ดูแลระบบ AirWave ควรอัพเดทซอฟต์แวร์ไปเป็นเวอร์ชัน 8.2 เพื่ออุดช่องโหว่ดังกล่าว

รายละเอียดเพิ่มเติม: http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-005.txt

ที่มา: http://www.theregister.co.uk/2016/05/09/aruba_aruba_patch_now_patch_fast/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Lenovo เข้าซื้อกิจการ Infinidat ขยายธุรกิจระบบจัดเก็บข้อมูลสำหรับ Data Center

Lenovo เข้าซื้อกิจการ Infinidat ขยายธุรกิจระบบจัดเก็บข้อมูลสำหรับ Data Center

แฮ็กเกอร์หน้าใหม่ ใจดีแจกฟรี FortiGate VPN Credential ของ 15,000 อุปกรณ์

Belsen Group กลุ่มแฮ็กเกอร์ที่เพิ่งปรากฏชื่อขึ้นในสื่อต่างๆ กำลังเรียกร้องความสนใจด้วยการแจกฟรีไฟล์ข้อมูลของ FortiGate ราว 15,000 อุปกรณ์ใน Dark Web ที่ภายในประกอบด้วย IP Address, VPN Credential …