{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "ArubaOS ist das Betriebssystem der Aruba Netzwerkprodukte.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Aruba ArubaOS ausnutzen, um Sicherheitsvorkehrungen zu umgehen und das System komplett zu kompromittieren.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-2287 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2287.json" }, { "category" : "self", "summary" : "WID-SEC-2023-2287 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2287" }, { "category" : "external", "summary" : "HPE Aruba Networking Product Security Advisory vom 2023-09-06", "url" : "https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-014.txt" } ], "source_lang" : "en-US", "title" : "ArubaOS: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2023-09-06T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:58:09.444+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-2287", "initial_release_date" : "2023-09-06T22:00:00.000+00:00", "revision_history" : [ { "date" : "2023-09-06T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Aruba ArubaOS < 10.4.0.2", "product" : { "name" : "Aruba ArubaOS < 10.4.0.2", "product_id" : "1445037", "product_identification_helper" : { "cpe" : "cpe:/o:arubanetworks:arubaos:10.4.0.2" } } }, { "category" : "product_name", "name" : "Aruba ArubaOS < 8.11.1.1", "product" : { "name" : "Aruba ArubaOS < 8.11.1.1", "product_id" : "T028452", "product_identification_helper" : { "cpe" : "cpe:/o:arubanetworks:arubaos:8.11.1.1" } } }, { "category" : "product_name", "name" : "Aruba ArubaOS < 8.10.0.7", "product" : { "name" : "Aruba ArubaOS < 8.10.0.7", "product_id" : "T028453", "product_identification_helper" : { "cpe" : "cpe:/o:arubanetworks:arubaos:8.10.0.7" } } }, { "category" : "product_name", "name" : "Aruba ArubaOS < 8.6.0.22", "product" : { "name" : "Aruba ArubaOS < 8.6.0.22", "product_id" : "T029749", "product_identification_helper" : { "cpe" : "cpe:/o:arubanetworks:arubaos:8.6.0.22" } } } ], "category" : "product_name", "name" : "ArubaOS" } ], "category" : "vendor", "name" : "Aruba" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-38486", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in ArubaOS in der Secure-Boot-Implementierung. Dadurch können Sicherheitskontrollen umgangen werden, die normalerweise die Ausführung unsignierter Kernel-Images verhindern. Ein privilegierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige Runtime-Betriebssysteme auszuführen, einschließlich nicht verifizierter und nicht signierter Betriebssystem-Images." } ], "release_date" : "2023-09-06T22:00:00.000+00:00", "title" : "CVE-2023-38486" }, { "cve" : "CVE-2023-38485", "notes" : [ { "category" : "description", "text" : "In ArubaOS existieren mehrere Schwachstellen. In der BIOS-Implementierung bestehen mehrere Pufferüberlauf-Schwachstellen, die es ermöglichen, beliebigen Code zu Beginn der Boot-Sequenz auszuführen. Ein privilegierter Angreifer kann diese Schwachstellen ausnutzen, um Zugriff auf zugrundeliegende vertrauliche Informationen im betroffenen Controller zu erhalten und diese zu ändern, was zu einer vollständigen Kompromittierung des Systems führt." } ], "release_date" : "2023-09-06T22:00:00.000+00:00", "title" : "CVE-2023-38485" }, { "cve" : "CVE-2023-38484", "notes" : [ { "category" : "description", "text" : "In ArubaOS existieren mehrere Schwachstellen. In der BIOS-Implementierung bestehen mehrere Pufferüberlauf-Schwachstellen, die es ermöglichen, beliebigen Code zu Beginn der Boot-Sequenz auszuführen. Ein privilegierter Angreifer kann diese Schwachstellen ausnutzen, um Zugriff auf zugrundeliegende vertrauliche Informationen im betroffenen Controller zu erhalten und diese zu ändern, was zu einer vollständigen Kompromittierung des Systems führt." } ], "release_date" : "2023-09-06T22:00:00.000+00:00", "title" : "CVE-2023-38484" } ] }