Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2022/05/05

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• ClearPass Policy Manager 6.10.x: 6.10.4 eta lehenagoko bertsioak;
• ClearPass Policy Manager 6.9.x: 6.9.9 eta lehenagoko bertsioak;
• ClearPass Policy Manager 6.8.x: 6.8.9-HF2 eta lehenagoko bertsioak;
• ClearPass Policy Manager 6.7.x eta lehenagoko bertsioak.

Azalpena:

Hainbat ikertzailek ClearPass Policy Manager-ek dituen 21 ahultasunen berri eman dute: 3 larritasun kritikokoak, 12 altukoak eta 6 ertainekoak. Ahultasun horiek arrakastaz baliatuz gero, erasotzaile batek komando arbitrarioak exekuta litzake, autentifikazioa saihestu, Cross-Site Scripting (XSS) egin, informazio sentikorra hedatu edo Server-Side Request Forgery (SSRF) egin.

Konponbidea:

Kaltetutako bertsioak honakoetara eguneratzea:

• ClearPass Policy Manager, 6.10.x: 6.10.5 bertsioa eta goragokoak;
• ClearPass Policy Manager, 6.9.x: 6.9.10 bertsioa eta goragokoak;
• ClearPass Policy Manager, 6.8.x: 6.8.9-HF3 bertsioa eta goragokoak.

Eguneraketen zerbitzurik jasotzen ez duten EOL bertsioen kasuan, informazio gehiago eskuratzeko fabrikatzailearen webgunea kontsultatu.

Xehetasuna:

• ClearPass Policy Manager-en webean oinarritutako kudeaketaren interfazeak dituen ahultasunak baliatuz, autentifikatu gabeko urruneko erasotzaile batek komando arbitrarioak exekuta litzake azpiko host-ean root modura, eta horrek sistema osorik jar lezake arriskutan. Ahultasun kritiko horietarako CVE-2022-23657, CVE-2022-23658 eta CVE-2022-23660 identifikatzaileak erabili dira.

Kritikoak ez diren gainerako ahultasunen kasuan, fabrikatzailearen oharrean euren CVE identifikatzaileak kontsulta daitezke.

Etiketak: Eguneraketa, Komunikazioak, HP, Ahultasuna