Importancia:

Crítica

Recursos afectados por estas vulnerabilidades:

  • AirWave Management Platform, versión 8.2.14.0 y anteriores;
  • Los modelos: Aruba Fabric Composer (AFC) y Plexxi Composable Fabric Manager (CFM), versión 6.2.0 y anteriores;
  • El producto: Aruba EdgeConnect Enterprise, con versiones ECOS 9.1.1.3, ECOS 9.0.6.0, ECOS 8.3.6.0 y anteriores;
  • Aruba EdgeConnect Enterprise Orchestrator (on-premises).

Solución a las múltiples vulnerabilidades:

Actualizar a:

  • AirWave Management Platform, versión 8.2.14.1 y superiores;
  • Los modelos: Aruba Fabric Composer (AFC) y Plexxi Composable Fabric Manager (CFM), a la versión 6.2.1 y superiores;
  • El producto: Aruba EdgeConnect Enterprise, con versiones ECOS 9.1.1.4, ECOS 9.0.7.0, ECOS 8.3.7.0 y superiores;
  • Aruba EdgeConnect Enterprise Orchestrator (on-premises):
    • actualizar a una versión superior a la 9.0.6.
    • aquellos que utilicen CentOS, pueden ejecutar el comando ‘yum update expat’.
    • los clientes Fedora necesitan actualizar a CentOS.

Detalles sobre estas múltiples vulnerabilidades:

  • Xmltok_impl.c en libexpat carece de cierta validación de la codificación, como la comprobación de si un carácter UTF-8 es válido en un contexto determinado. Se ha asignado el identificador CVE-2022-25235 para esta vulnerabilidad.
  • Xmlparse.c en libexpat podría permitir a los atacantes insertar caracteres separadores de nombres en URI de espacios de nombres. Se ha asignado el identificador CVE-2022-25236 para esta vulnerabilidad.
  • Desbordamiento de enteros en storeRawNames en expat. Se ha asignado el identificador CVE-2022-25315 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2022-25314.

Y en el caso de la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-25313.

Referencias:

Desde LISOT, como empresa de ciberseguridad, os ayudamos a securizar e implementar estas buenas prácticas de seguridad en los equipos de vuestra empresa.