-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Aruba产品安全咨询===============================咨询ID: Aruba - psa -2018-005 CVE: CVE-2018-11776发布日期:2018- 8- 29状态:确认修订:2 Title ===== Apache Struts Vulnerability in ClearPass Policy Manager概述======== Apache Struts组在2018年8月22日发布了Struts版本2.3.35。此更新包括一个安全漏洞的修复。Aruba ClearPass包含了Apache Struts 2.3.34，但是在一个非脆弱的配置中。受影响的产品=================无详细说明======= 2.3.35之前的Apache Struts 2.3版本存在远程代码执行漏洞。在检查了源代码并使用商业漏洞扫描器和特定于漏洞的测试脚本进行了广泛的测试之后，Aruba已经确定ClearPass不受Apache Struts最新漏洞的影响。解决方案==========在未来的软件补丁中，Aruba将更新包含在ClearPass Policy Manager中的Apache Struts版本。然而，这将作为一种预防措施，而不是对一个实际的弱点作出反应。不需要立即采取行动。解决方案===========作为一个标准的最佳实践，Aruba建议ClearPass管理员限制对策略管理Web界面的访问。 This can be accomplished by navigating to Administration >> Server Manager >> Server Configuration >> >>网络>>限制访问，仅支持非公网网络或管理网络。利用和公众讨论================================== Aruba意识到公众对这个问题的大量讨论，并且据报道存在利用代码。修订历史================修订1 / 2018年8月24日/首次发布修订2 / 2018年8月29日/更新“不脆弱”结论Aruba SIRT安全程序==============================关于报告Aruba网络产品安全漏洞的完整信息，获取安全事件的协助可访问://www.nexbus-cng.com/support-services/security-bulletins/报告*新*阿鲁巴网络安全问题，可发送电子邮件至Aruba -sirt(at)hpe.com。对于敏感信息，我们鼓励使用PGP加密。我们的公开密钥可在以下网址找到://www.nexbus-cng.com/support-services/security-bulletins/ (c)版权2018年由Aruba，惠普企业公司。本报告可在正文顶部所列的发布日期之后自由分发，但分发的副本必须完整且未经修改，包括所有数据和版本信息。-----BEGIN PGP SIGNATURE----- iqezbaebcaadfieemd5pp5enbg7y0fo5mp4jykwhtkfaluhbnuacgkqmp4jykwf htlpBQf+O6X/hhsMkMF+dKWWBv6Dj+/WiGUH0kcwFVawU5swIaTptb3kW6O1BS8d 4t1xgkfvdp8qs7sjjnsk0c0qk6vjjsk0c0qk6vsuujfubxjvv5stbatqvqwvtnosh2jwx9pks5wf hxBxVtmVg/ghVsbSFbeNZT2uSA5aDcfL8W7Qr4m5NV4JAOGsf5kVddmW4l+zucir46F8cP7cVWoYWkLSFLb0xG6nQiz1SV5LY/9R5A0j0Q1gKmD7iSBONPF8ceXpE2Fj 4ckbqXjsYyAP5LJ7Jj5HNXGBApp+H+FfzGwf0f8SkbEJHB/r4KnF/SPVSwzw6V6f 723qM/VrnGMAVSL0l7FMOV8lbkWetQ== == Hvlw -----结束PGP签名-----