HPE Aruba Netzwerke: Kritische Sicherheitslücken in Access Points entdeckt

Hewlett Packard Enterprise (HPE) hat am 5. November 2024 ein Sicherheitsbulletin veröffentlicht, das mehrere kritische Sicherheitslücken in HPE Aruba Access Points beschreibt. Betroffen sind Access Points, die die Software-Versionen Instant AOS-8 und AOS-10 verwenden, insbesondere ältere Versionen vor 10.4.1.5 und 8.12.0.3. Die Sicherheitslücken ermöglichen Remote-Code-Ausführung und unauthentifizierte Kommandoinjektionen.

Zu den Schwachstellen zählen:

  • CVE-2024-42509: Eine kritische Kommandoinjektionslücke, die es Angreifern ermöglicht, durch speziell gestaltete Pakete auf das PAPI-Protokoll (Port UDP/8211) Zugriff auf privilegierte Systeme zu erhalten.
  • CVE-2024-47460 und CVE-2024-47461: Weitere Schwachstellen, die Angriffe auf die CLI-Schnittstelle erlauben und das Betriebssystem vollständig kompromittieren könnten.

HPE empfiehlt dringend, die betroffenen Systeme auf Versionen ab AOS-10.7.0.0 zu aktualisieren und betroffene Ports in unsicheren Netzwerken zu blockieren. Produkte wie HPE Aruba Mobility Controller und SD-WAN Gateways sind nicht betroffen. Patch-Downloads und weitere Informationen sind auf dem HPE Networking Support Portal verfügbar.

Related Posts

Apache Lucene .Net: CVE-2024-43383 erlaubt RCE über manipulierte JSON Antworten

: Eine Sicherheitslücke in der Apache Lucene.Net.Replicator-Bibliothek (Versionen 4.8.0-beta00005 bis 4.8.0-beta00016) erlaubt Angreifern durch manipulierte JSON-Antworten, Remote-Code auszuführen oder unberechtigten Zugriff zu erlangen. Nutzer sollten dringend auf Version 4.8.0-beta00017 aktualisieren, die dieses Problem behebt.

Read More

X11 Server: 19 Jahre alte Heap Buffer Overflow Lücke gepatcht

Am 29. Oktober 2024 veröffentlichte X.Org eine Sicherheitswarnung zu Schwachstellen in den Implementierungen des X-Servers und von Xwayland. Diese Sicherheitslücke betrifft Versionen des X.Org X-Servers vor 21.1.14 und Xwayland vor 24.1.4. Besonders schwerwiegend ist dabei die als CVE-2024-9632 bekannte Schwachstelle, die eine Heap-basierte Buffer Overflow-Attacke im Zusammenhang mit der Funktion _XkbSetCompatMap ermöglicht.

Read More

CVE-2024-46538: XSS Schwachstelle in pfSense Firewall

Ende Oktober 2024 ist eine neue Schwachstelle in der beliebten Open-Source-Firewall pfSense bekannt geworden. Diese Cross-Site Scripting (XSS)-Lücke CVE-2024-46538 betrifft pfSense in der Version 2.5.2 und ermöglicht es Angreifern, bösartigen Webcode oder HTML über speziell präparierte Nutzdaten in die $pconfig-Variable der Datei interfaces_groups_edit.php einzuschleusen.

Read More