CH azonosító
CH-5157Angol cím
Aruba Mobility Controller Captive Portal Custom Welcome Page Redirection WeaknessFelfedezés dátuma
2011.07.07.Súlyosság
AlacsonyÉrintett rendszerek
Aruba NetworksArubaOS
Érintett verziók
Aruba Networks ArubaOS 2.4.x, 3.3.x, 3.4.x, 5.x, 6.x
Aruba Networks ArubaOS 2.4.x-FIPS, 3.3.x-FIPS, 3.4.x-FIPS
Összefoglaló
Az Aruba Mobility Controller olyan sérülékenységét jelentették, amelyet kihasználva a támadók hamisításos támadásokat hajthatnak végre.
Leírás
A hitelesítés során a captive portálnak átadott bizonyos bemenet nincs megfelelően ellenőrizve, mielőtt felhasználnák a felhasználók egyedi üdvözlőoldalra történő átirányításához. Ezt kihasználva egy tetszőleges oldalra lehet átirányítani a felhasználót, ha pl. egy speciálisan megszerkesztett, megbízható tartományon található érintett scriptre mutató hivatkozásra kattint.
A sérülékenység sikeres kihasználásához szükséges egy egyéni üdvözlőoldal (alapértelmezetten nincs), illetve hogy az áldozat ne legyen még bejelentkezve.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 45160
Gyártói referencia: www.arubanetworks.com