ArubaOSセキュリティ脆弱性によりファームアップが必要なバージョン
HPE Arubaより、ArubaOSに存在する脆弱性についての情報が公開されました(2023年3月)
公開された脆弱性情報は「PAPIプロトコルに存在するコマンドインジェクションの脆弱性」(CVE-2023-22747, CVE-2023-22748, CVE-2023-22749,CVE-2023-22750)と「PAPIプロトコルに存在するスタックベースのバッファオーバーフロー脆弱性」(CVE-2023-22751, CVE-2023-22752)の2件、計6件となります。
いずれも重要度が「Critical」に分類される脆弱性とのことで、対象のArubaOSはファームウェアのアップデートが必要となります。[Aruba official security-advisory]
ArubaOS脆弱性の詳細情報
1.PAPIプロトコルに存在するコマンドインジェクションの脆弱性
(CVE-2023-22747, CVE-2023-22748, CVE-2023-22749,CVE-2023-22750)
PAPI(Aruba Networks AP management protocol)8211/UDP宛に、細工されたパケットを送信することによって、リモートコード実行が可能となるコマンドインジェクションの脆弱性があります。
脆弱性の悪用に成功した場合、基盤となっているオペレーティングシステム上で、特権ユーザーとして任意のコードが実行できるようになります。
・重要度:Critical
・CVSSv3スコア:9.8
2.PAPIプロトコルに存在するスタックベースのバッファオーバーフロー脆弱性
(CVE-2023-22751, CVE-2023-22752)
PAPI(Aruba Networks AP management protocol)8211/UDP宛に細工されたパケットを送信することによって、リモートコード実行が可能となるスタックベースのバッファオーバーフロー脆弱性があります。
脆弱性の悪用に成功した場合、基盤となっているオペレーティングシステム上で、特権ユーザーとして任意のコードが実行できるようになります。
・重要度:Critical
・CVSSv3スコア:9.8
脆弱性対象ArubaOS
2023年3月に公開された「CVE-2023-22747」「CVE-2023-22748」「CVE-2023-22749」「CVE-2023-22750」「CVE-2023-22751」「CVE-2023-22752」の6件の対象となるArubaOSは下記のバージョンとなります。
- ArubaOS 8.6.x.x : 8.6.0.19 以下
- ArubaOS 8.10.x.x : 8.10.0.4 以下
- ArubaOS 10.3.x.x: 10.3.1.0 以下
該当するArubaOSを使用しているAruba モビリティコンダクター(旧モビリティマスター)、および
Aruba モビリティコントローラーの製品はファームウェアのバージョンアップが必要となります。
また、以下のファームウェアでも脆弱性影響を受けますが、既にサポート終了・メンテナンス終了とされているバージョンなので修正パッチ、新バージョンのリリースは無いことから、該当する場合はメジャーバージョンのアップデートが必要となります。
- ArubaOS 6.5.4.x: 全て
- ArubaOS 8.7.x.x: 全て
- ArubaOS 8.8.x.x: 全て
- ArubaOS 8.9.x.x: 全て
推奨ファームウェア 脆弱性対応ArubaOS
以上の脆弱性6件への対応を行うためには、下記のArubaOSへのファームウェアバージョンアップを行う必要があります。
- ArubaOS 8.6.x : 8.6.0.20 以上
- ArubaOS 8.10.x : 8.10.0.5 以上
- ArubaOS 8.11.x : 8.11.0.0 以上
- ArubaOS 10.3.x : 10.3.1.1 以上
ArubaOS 8.6系では重要度「High」レベルに値する脆弱性の修正が行われていません。
今回の重要度「critical」以下の全ての脆弱性への対応を行うためには、ArubaOS 8.10系以上へのアップグレードを行う必要があります。
