Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2022/05/18

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• AirWave Management Platform, 8.2.14.0 eta lehenagoko bertsioak;
• Aruba Fabric Composer (AFC) eta Plexxi Composable Fabric Manager (CFM), 6.2.0 eta lehenagoko bertsioak;
• Aruba EdgeConnect Enterprise, ECOS 9.1.1.3, ECOS 9.0.6.0, ECOS 8.3.6.0 eta lehenagoko bertsioak;
• Aruba EdgeConnect Enterprise Orchestrator (on-premises).

Azalpena:

XML Expat prozesamendu liburutegiak dituen hainbat ahultasunek Aruba produktuei eragiten diete.

Konponbidea:

Honako hauetara eguneratzea:

• AirWave Management Platform, 8.2.14.1 eta goragoko bertsioak;
• Aruba Fabric Composer (AFC) eta Plexxi Composable Fabric Manager (CFM), 6.2.1 eta goragoko bertsioak;
• Aruba EdgeConnect Enterprise, ECOS 9.1.1.4, ECOS 9.0.7.0, ECOS 8.3.7.0 eta goragoko bertsioak;
• Aruba EdgeConnect Enterprise Orchestrator (on-premises):
  • 9.0.6 bertsioa baino goragoko batera eguneratzea.
  • CentOS erabiltzen dutenek 'yum update expat' komandoa exekuta dezakete.
  • Fedora bezeroek CentOS-era eguneratzea behar dute.

Xehetasuna:

• libexpat-eko xmltok_impl.c-ek ez dauka kodetzearen baliozkotze osoa, esate baterako ea UTF-8 karaktere bat testuinguru jakin batean baliagarria den egiaztatzea. Ahultasun horretarako CVE-2022-25235 identifikatzailea esleitu da.
• libexpat-eko Xmlparse.c baliatuz, erasotzaileek izenen karaktere bereizleak sar litzakete izenen zuriuneen URIetan. Ahultasun horretarako CVE-2022-25236 identifikatzailea esleitu da.
• expat-eko storeRawNames-en osokoen gainezkatzea. Ahultasun horretarako CVE-2022-25315 identifikatzailea esleitu da.

Larritasun altuko ahultasunerako CVE-2022-25314 identifikatzailea erabili da.

Larritasun ertaineko ahultasunerako CVE-2022-25313 identifikatzailea erabili da.

Etiketak: Eguneraketa, Azpiegitura kritikoak, Ahultasuna