CH azonosító
CH-5157Angol cím
Aruba Mobility Controller Captive Portal Custom Welcome Page Redirection WeaknessFelfedezés dátuma
2011.07.07.Súlyosság
AlacsonyÉrintett rendszerek
Aruba NetworksArubaOS
Érintett verziók
Aruba Networks ArubaOS 2.4.x, 3.3.x, 3.4.x, 5.x, 6.x
Aruba Networks ArubaOS 2.4.x-FIPS, 3.3.x-FIPS, 3.4.x-FIPS
Összefoglaló
Az Aruba Mobility Controller olyan sérülékenységét jelentették, amelyet kihasználva a támadók hamisításos támadásokat hajthatnak végre.
Leírás
A hitelesítés során a captive portálnak átadott bizonyos bemenet nincs megfelelően ellenőrizve, mielőtt felhasználnák a felhasználók egyedi üdvözlőoldalra történő átirányításához. Ezt kihasználva egy tetszőleges oldalra lehet átirányítani a felhasználót, ha pl. egy speciálisan megszerkesztett, megbízható tartományon található érintett scriptre mutató hivatkozásra kattint.
A sérülékenység sikeres kihasználásához szükséges egy egyéni üdvözlőoldal (alapértelmezetten nincs), illetve hogy az áldozat ne legyen még bejelentkezve.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 45160
Gyártói referencia: www.arubanetworks.com