Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Aruba corrige errores en dispositivos de redes que podrían explotar atacantes
Se han encontrado múltiples vulnerabilidades en el software para dispositivos de red inalámbrica de Aruba Networks, lo que podría bajo ciertas circunstancias, permitir a atacantes comprometer los dispositivos.
Las vulnerabilidades fueron descubiertas por Sven Blumenstein del equipo de seguridad de Google y afectan a ArubaOS, la plataforma de gestión de Aruba AirWave (AMP) y Aruba Instant (IAP).
Hay 26 problemas diferentes, que van desde la ejecución remota de código privilegiado para la divulgación de información, un mecanismo de actualización insegura, así como el almacenamiento inseguro de las credenciales y claves privadas. Sin embargo, Aruba combina las vulnerabilidades en dos ID de seguimiento CVE: CVE-2016-2031 y CVE-2016-2032.
Los problemas comunes que son compartidos por todos los paquetes de software afectados tienen que ver con defectos de diseño en un protocolo de gestión y control de la propiedad de Aruba denominado PAPI.
"El protocolo PAPI contiene una serie de defectos no reparados, incluyendo: resúmenes de mensajes MD5 que no se validan correctamente al recibirlos, el protocolo de cifrado de PAPI es débil; todos los dispositivos de Aruba utilizan una clave estática común para la validación de mensajes", explicó en un aviso Aruba, empresa subsidiaria de Hewlett Packard.
El impacto de estos problemas varía dependiendo de la configuración de la red, pero la compañía tiene previsto arreglarlos en Aruba Instant y la Plataforma de Gestión AirWave, a finales de este año.
