Aruba Mobility Controller跨站脚本漏洞
Aruba Mobility Controller可为企业提供移动接入解决方案。Aruba Mobility Controllers的TACACS认证组件可能允许非授权的Web UI/SSH/Telnet访问,但TACACS不是默认的认证方式;Aruba Mobility Controllers可能提供一个基于Web的管理和captive portal接口,向这个web UI提受影响系统:
Aruba Networks Mobility Controllers 3.3.1.x
Aruba Networks Mobility Controllers 3.2.0.x
Aruba Networks Mobility Controllers 3.1.1.x-FIPS
Aruba Networks Mobility Controllers 3.1.1.x
Aruba Networks Mobility Controllers 2.5.6.x
Aruba Networks Mobility Controllers 2.5.5.x
Aruba Networks Mobility Controllers 2.4.8.x-FIPS
描述:
----------------------------------------------------------------------------
BUGTRAQ ID: 29240
Aruba Mobility Controller可为企业提供移动接入解决方案。
Aruba Mobility Controllers的TACACS认证组件可能允许非授权的Web UI/SSH/Telnet访问,但TACACS不是默认的认证方式;Aruba Mobility Controllers可能提供一个基于Web的管理和captive portal接口,向这个web UI提供畸形输入可以导致向用户显示输入,导致跨站脚本攻击。
<*来源:Robbie (Rupinder) Gill ([email]rgill@arubanetworks.com[/email])
链接[url]http://secunia.com/advisories/30262/[/url] ;
[url]http://marc.info/?l=bugtraq&m=121086563526116&w=2[/url] ;
*>
建议:
----------------------------------------------------------------------------
临时解决方法:
* 对所有帐号禁用TACACS认证。
* 不要向不可信任的网络暴露Mobility Controller管理接口。
厂商补丁:
Aruba Networks
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
[url]http://www.arubanetworks.com/support[/url] ; 呵呵,知道了安全提醒
恩~~~;) 顶了啊
页:
[1]