HPE Aruba Networking ClearPass Policy Manager'ın mevcut sürümlerinde geliştiriciler toplam dört güvenlik açığını giderdi. En kötü durumda, saldırganlar kendi kodlarını çalıştırabilir ve sistemlerini tehlikeye atabilirler.
Duyuru
Yöneticiler bunu ağlara erişimi yönetmek için kullanır. Bu noktada bir saldırganın ayağını kapıya sokması ciddi sonuçlar doğurabilir. Ancak bir uyarı mesajının da gösterdiği gibi, kötü amaçlı kod saldırıları kolaylıkla mümkün değildir.
Güvenlik açıkları kapatıldı
Bunun işe yaraması için saldırganların kimliğinin zaten doğrulanmış olması gerekir. Eğer öyleyse, iki güvenlik açığına (CVE-2024-51771″) uzaktan erişebilirler.yüksek“, CVE-2024-51772”yüksek“) web tabanlı yönetim arayüzünde. Daha sonra, ayrıntılı olarak açıklanmayan bir yöntemle komutlarınızı temel işletim sisteminde çalıştırabilirsiniz.
XSS saldırıları da depolanır (CVE-2024-51773 “orta“) ve komut ekleme saldırıları (CVE-2024-53672 “orta“) olası.
Geliştiriciler boşlukların şu şekilde doldurulacağını garanti eder: Sürüm 6.11.10 VE 6.12.3 kapattık. Şu anda herhangi bir saldırı raporu bulunmuyor. Ancak yöneticilerin güvenlik güncellemelerini yakın zamanda yüklemesi gerekmektedir.
Ne yazık ki HPE şu anda yöneticilerin güvenliği ihlal edilmiş sistemleri tanımlamak için hangi ölçümleri kullanabileceğini belirtmemektedir.
(des)
Duyuru
Yöneticiler bunu ağlara erişimi yönetmek için kullanır. Bu noktada bir saldırganın ayağını kapıya sokması ciddi sonuçlar doğurabilir. Ancak bir uyarı mesajının da gösterdiği gibi, kötü amaçlı kod saldırıları kolaylıkla mümkün değildir.
Güvenlik açıkları kapatıldı
Bunun işe yaraması için saldırganların kimliğinin zaten doğrulanmış olması gerekir. Eğer öyleyse, iki güvenlik açığına (CVE-2024-51771″) uzaktan erişebilirler.yüksek“, CVE-2024-51772”yüksek“) web tabanlı yönetim arayüzünde. Daha sonra, ayrıntılı olarak açıklanmayan bir yöntemle komutlarınızı temel işletim sisteminde çalıştırabilirsiniz.
XSS saldırıları da depolanır (CVE-2024-51773 “orta“) ve komut ekleme saldırıları (CVE-2024-53672 “orta“) olası.
Geliştiriciler boşlukların şu şekilde doldurulacağını garanti eder: Sürüm 6.11.10 VE 6.12.3 kapattık. Şu anda herhangi bir saldırı raporu bulunmuyor. Ancak yöneticilerin güvenlik güncellemelerini yakın zamanda yüklemesi gerekmektedir.
Ne yazık ki HPE şu anda yöneticilerin güvenliği ihlal edilmiş sistemleri tanımlamak için hangi ölçümleri kullanabileceğini belirtmemektedir.
(des)