细水 2008.01.09

漏洞播报

Aruba Mobility Controller绕过LDAP认证漏洞

发布日期:2008-01-04
更新日期:2008-01-08

受影响系统:

Aruba Networks Mobility Controllers 3.1.1.3
Aruba Networks Mobility Controllers 2.5.5.7
Aruba Networks Mobility Controllers 2.5.4.25
Aruba Networks Mobility Controllers 2.5.2.11
Aruba Networks Mobility Controllers 2.4.8.11-FIPS
Aruba Networks Mobility Controllers 2.3.6.15

描述:


BUGTRAQ  ID: 27144

Aruba Mobility Controller可为企业提供移动接入解决方案。

Aruba Mobility Controller可能使用外部认证方式认证管理和VPN用户。LDAP认证组件中的漏洞可能允许非授权使用LDAP认证的管理和PAP用户。

能够访问Aruba Mobility Controller的管理或VPN接口且知道已有帐户的攻击者可以以该帐号的级别访问Aruba Mobility Controller或VPN服务。

<*来源:Aruba Networks
  
  链接:http://secunia.com/advisories/28357/
        http://marc.info/?l=bugtraq&m=119955401732254&w=2
*>

建议:


临时解决方法:

* 不要向不可信任的网络暴露Mobility Controller管理接口
* 禁用LDAP认证
* 禁止LDAP服务器中的匿名绑定

厂商补丁:

Aruba Networks
————–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.arubanetworks.com/support


您可以随意转载,但必须在显著位置标明 原创链接 和本 版权声明

本文链接: http://www.mcafeefans.com/?p=2315

发表评论

电子邮件地址不会被公开。

:wink: :twisted: :roll: :mrgreen: 8) :-D :arrow: :-o more »

返回页首返回页尾