СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
03.05.2022

Уязвимость BDU:2022-02734

Уязвимость BDU:2022-02734

Идентификатор: BDU:2022-02734.

Наименование уязвимости: Уязвимость библиотеки NanoSSL микропрограммного обеспечения коммутаторов Aruba 5400R, Aruba 3810, Aruba 2920, Aruba 2930F, Aruba 2930M, Aruba 2530, Aruba 2540, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость библиотеки NanoSSL микропрограммного обеспечения коммутаторов Aruba 5400R, Aruba 3810, Aruba 2920, Aruba 2930F, Aruba 2930M, Aruba 2530, Aruba 2540 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Уязвимое ПО: Микропрограммный код Aruba Networks Aruba 5400R до 5.0 | Микропрограммный код Aruba Networks Aruba 3810 до 5.0 | Микропрограммный код Aruba Networks Aruba 2920 до 5.0 | Микропрограммный код Aruba Networks Aruba 2930F до 5.0 | Микропрограммный код Aruba Networks Aruba 2930M до 5.0 | Микропрограммный код Aruba Networks Aruba 2530 до 5.0 | Микропрограммный код Aruba Networks Aruba 2540 до 5.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 03.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования;
— ограничение доступа к сетям общего пользования

Информация от производителя:
https://asp.arubanetworks.com/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-23677.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://asp.arubanetworks.com/
https://www.helpnetsecurity.com/2022/05/03/tlstorm-2-0/
http://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: