Aruba Networks ArubaOS HTTP响应分隔和HTML注入漏洞

发布日期:2011-07-07
更新日期:2011-07-07

受影响系统:
Aruba Networks ArubaOS 7.x
Aruba Networks ArubaOS 6.x
Aruba Networks ArubaOS 5.x
Aruba Networks ArubaOS 3.x
不受影响系统:
Aruba Networks ArubaOS 7.2.2
Aruba Networks ArubaOS 6.0.1.1
Aruba Networks ArubaOS 5.0.3.2
Aruba Networks ArubaOS 5.0.3.2
Aruba Networks ArubaOS 3.4.4.0-FIPS
Aruba Networks ArubaOS 3.3.3.10
Aruba Networks ArubaOS 3.3.2.21-FIPS
Aruba Networks ArubaOS 2.4.8.27-FIPS
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 48614

ArubaOS独特地集成了安全性、移动性、应用感知、管理和射频调谐服务,能让用户随时随地以最安全、最可靠的方式接入无线网络。

Aruba Networks ArubaOS在处理HTTP响应时上存在安全漏洞,远程攻击者可利用此漏洞在受影响站点执行HTML或JavaScript代码,窃取cookie身份验证凭证,控制站点外观,影响或扭曲Web内容的服务、缓存或解释方式。

攻击者可用特制的恶意SSID植入AP,在某些相关报告的ArubaOS和AirWave Administration WebUI的节段中触发XSS漏洞。

<*来源:vendor
 
  链接:http://www.securityfocus.com/archive/1/518751
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Aruba Networks
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.arubanetworks.com/