-----开始PGP签名消息------散列：SHA256阿鲁巴产品安全咨询=============================咨询ID:Aruba-PSA-2020-001 CVE:CVE-2019-5322发布日期：2020-2月12日状态：确认修订：2标题=====阿鲁巴智能边缘交换机Web管理界面中的信息披露。概述========阿鲁巴智能边缘交换机中存在一个信息泄露漏洞，允许攻击者检索敏感系统信息。在非常特定的条件下，可以在没有用户身份验证的情况下执行此攻击。受影响的产品=============此漏洞影响Aruba智能边缘交换机：5400R 3810 2920 2930 2530，带有GigT端口2530 10/100端口2540上述产品的以下固件版本受影响：16.08.*16.08.0009 16.09.*16.09.0007 16.10.*16.10.0003之前详细信息=====受影响交换机的web管理界面中存在泄漏漏洞。此漏洞可通过向Web管理界面发送精心编制的数据包来检索敏感系统信息。只有在非常特定的条件下，才能利用该漏洞检索系统信息。如果满足这些条件，则可以在不进行身份验证的情况下利用该漏洞。内部参考：ASIRT-89严重性：高CVSSv3总分：7.5 CVSS向量：CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N分辨率=================此漏洞通过更新到以下固件版本得以解决：-16.08.0009-16.09.0007-16.10.0003发现===========阿鲁巴感谢以下研究人员的帮助：发现并报告此漏洞：-Alexis La Goutte变通方法===========如果无法更新到最新版本，请尽可能禁用web管理。如果您需要禁用web管理的帮助，请联系Aruba支持部门。另一个解决方法是使用网络分段技术隔离交换机web管理界面。利用漏洞和公开讨论=====================================================阿鲁巴不知道与此问题相关的任何公开讨论或利用漏洞代码。修订历史==================================修订版1/2020-2月11日/初始版本修订版2/2020-2月12日/其他解决方法信息Aruba SIRT安全程序===============================================================================有关报告Aruba Networks产品中安全漏洞的完整信息，可通过以下网址获得安全事件方面的协助：//www.nexbus-cng.com/support-services/security-bulletins/ 对于报告*新*阿鲁巴网络安全问题，可将电子邮件发送至Aruba sirt（at）hpe.com。对于敏感信息，我们鼓励使用PGP加密。我们的公钥可在以下网址找到：//www.nexbus-cng.com/support-services/security-bulletins/ （c） 版权2020由惠普企业公司阿鲁巴（Aruba）提供。本公告可在正文顶部给出的发布日期后自由重新分发，前提是重新分发的副本完整且未经修改，包括所有数据和版本信息-----开始PGP签名------IQEzbaebcaadfieemd5p5enbg7y0fo5mp4jkwf5jkwf5jkwf4d5lvehmr83tlldttijlavyom88wfdzizg9euzyvac5rjlyd87f/9wt3yy78v5cvqcjmjou14glt9bopcinw2zk9g1w7t4yenyjc43oazp+y275 u4bwwwwwwv2hpv2hpv7uz4w4w4v4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4w4wkjkjkjjjj4w4w4w4w4w4w4w4w4w4w4w4w4wRiOrwR961v4d0vj+EZQHrMfOGmaLdQF3Yw9c3U2H6jQ48QWOGE5ABdrqb6ZQZF+e LNXINL2AARYNAGEWO34A/AlfEg==c0fI-----结束PGP签名-----