阿鲁巴修复了可以打开黑客门的网络设备缺陷
Makani的能量风筝是一个更聪明的风力涡轮机
芬兰城市将10亿欧元跃入数字化
Brexit是瑞典金融气的潜在推动
谷歌在微软之后,Tableau和其他免费分析工具
Visa,Bosch和Indiegogo亮相IBM Watson IoT伙伴关系
谷歌购买Synergyse教授客户如何使用应用程序
Facebook Schrems法律案例将对欧盟隐私的影响“扫地”
HP的新Chromebook 13具有匹配顶线Windows PC的功能
沃尔玛在商店找到Stew工人
迪士尼文件专利近瞬时3D打印
谷歌白日梦关于VR,企业注意到
制造商合作以保护过程控制系统
Mozilla希望美国披露它首先在Tor中发现任何脆弱性
HMRC拒绝Gov.uk验证
谷歌用新的幻灯片应用程序杀死'PowerPoint死亡'
FCC,FTC发布调查智能手机安全更新
微软和SAP加深了与Azure和Office集成的伙伴关系
Facebook UPS安全与FIDO U2F双因素身份验证
技能短缺如何转换大数据
越来越多的英国技术技能基地将制造或突破总理的产业战略,小组索赔
Adobe Analytics Revamps'ClickMap'
Mingis关于Tech:4D打印 - 真的吗?和神秘的小工具人到来
数字商业占中东GDP的低于1%
Oracle在Textura购买的工程和建筑行业上瞄准了它的景点
7个好原因苹果在印度的iOS计划的意义
英国网络安全员工在五年内增加了163%
害怕洪水和黑客?将您的数据放在太空中
以人为本的技术将在未来三年中占主导地位
IBM详细介绍全闪存存储,以帮助电力认知计算
与家用电池系统的特斯拉之后的日产电荷
除了10个白名单的网站,默认情况下,谷歌默认情况下默认阻止Flash
政府数字转型策略终于设定了本周发布
Facebook为WhatsApp安全后门的火灾
推荐KB 3133977贴片可能导致华硕PC冻结
伦敦软件工程工资下降1.7%
Windows 10迁移:至少它不是最后一次
NCSC教育英国政客对网络威胁
丹麦航运公司在IBM伙伴关系中使用区块链
参议员将介绍一项限制政府黑客认股权证的账单
癌症研究英国驾驶捐款与邻近的Wi-Fi网络
Salesforce中断继续在美国的某些地区
澳大利亚银行实施基于云的人员管理软件
政府加快英国网络安全行业的帮助
OneNote很容易获得视频嵌入和更多新功能
RSAC17:调查显示,拓扑卫生改变驾驶加密使用量
仅推动49%的营销人员因技术而推动重塑客户服务
Android用户现在可以在任何应用程序中快速翻译文本
IT人员招聘在阿联酋和更广泛的地区造成了重大挑战
法院听到没有恐怖联系的普通公民,审理
您的位置:首页 >论坛 > 电子业界 >

阿鲁巴修复了可以打开黑客门的网络设备缺陷

2021-07-04 12:44:11 [来源]:

无线网络设备制造商Aruba Networks在其软件中修复了多种漏洞,可以在某些情况下允许攻击者妥协设备。

Svens Blumenstein从Google Security团队中发现了漏洞,并影响Arubaos,Aruba的Airwave管理平台(AMP)和Aruba Instant(IAP)。

存在26个不同的问题,从特权远程代码执行范围到信息泄露,不安全更新机制和凭据和私钥的不安全存储。但是,Aruba将它们组合在两个CVE跟踪ID下:CVE-2016-2031和CVE-2016-2032。

所有受影响的软件包共享的常见问题与Aruba专有管理和控制协议被称为Papi的设计缺陷有关。

“PAPI协议包含许多未重复的缺陷,包括:收到后,PAPI加密协议未正确验证MD5消息摘要;所有Aruba设备都使用常见的静态键进行消息验证,“Aruba是一个惠普企业子公司,在一个咨询中表示。

这些问题的影响因网络配置而有所不同,但该公司计划在今年晚些时候在阿鲁巴瞬发和航空管理平台中修复它们。

该公司表示,计划更新将改变PAPI,以便在安全频道内运营,例如DTLS或IPSec,如DTLS或IPSec。在此之前,客户可以应用包含在公司支持门户网站上发布的“控制平面安全最佳实践”文件中的建议。

大多数其他缺陷都在IAP 4.1.3.0和4.2.3.1和AMP 8.2.0中固定。

IAP中有两个问题,阿鲁巴不考虑安全漏洞,而是因为他们“不符合行业最佳实践,公司将在未来的更新中修复它们。

其中一个源于使用静态密码进行工程支持模式,提供额外的配置和诊断功能,误用可能导致AP硬件的物理损坏。此模式只能从经过身份验证的管理会话访问,因此潜在的攻击者已经需要访问管理凭据。

另一个问题源于使用静态密钥来加密存储在IAP配置文件中的所有密码。如果这样的文件被盗,攻击者可以撤消工程师的平台代码来提取密钥并解密密码。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。