Hewlett Packard Enterprise (HPE) ได้ปล่อยอัปเดตสำหรับซอฟต์แวร์ Instant AOS-8 และ AOS-10 เพื่อแก้ไขช่องโหว่ร้ายแรงสองรายการใน Aruba Networking Access Points
ช่องโหว่ทั้งสองนี้อาจทำให้ผู้โจมตีจากระยะไกลสามารถดำเนินการส่งคำสั่ง (command injection) โดยไม่ต้องยืนยันตัวตน ด้วยการส่งแพ็กเก็ตที่สร้างขึ้นมาเป็นพิเศษไปยังโปรโตคอลจัดการ Access Point ของ Aruba (PAPI) ผ่านพอร์ต UDP 8211
ช่องโหว่สำคัญเหล่านี้มีหมายเลขติดตามคือ CVE-2024-42509 และ CVE-2024-47460 โดยมีการประเมินคะแนนความรุนแรงอยู่ที่ 9.8 และ 9.0 ตามลำดับ ซึ่งทั้งคู่เป็นปัญหาในบริการของอินเทอร์เฟซบรรทัดคำสั่ง (CLI) ที่เข้าถึงได้ผ่านโปรโตคอล PAPI
เพื่อแก้ไขปัญหาช่องโหว่ใน Aruba Networking Access Points ทาง HPE แนะนำให้ผู้ใช้งานอัปเดตอุปกรณ์ของตนเป็นเวอร์ชันซอฟต์แวร์ดังต่อไปนี้หรือใหม่กว่า:
AOS-10.7.x.x: อัปเดตเป็นเวอร์ชัน 10.7.0.0 หรือใหม่กว่า
AOS-10.4.x.x: อัปเดตเป็นเวอร์ชัน 10.4.1.5 หรือใหม่กว่า
Instant AOS-8.12.x.x: อัปเดตเป็นเวอร์ชัน 8.12.0.3 หรือใหม่กว่า
Instant AOS-8.10.x.x: อัปเดตเป็นเวอร์ชัน 8.10.0.14 หรือใหม่กว่า
อ่านเพิ่มเติมที่นี่ – BPC
