站内公告      关于在天津市网站设置虚拟警察、治安岗亭的通知
您现在的位置: 天津市公安局公共信息网络安全监察总队 >> 安全动态 >> 安全动态正文
Aruba Mobility Controller绕过LDAP认证漏洞
发布日期:2008-01-04
更新日期:2008-01-08

受影响系统:
Aruba Networks Mobility Controllers 3.1.1.3
Aruba Networks Mobility Controllers 2.5.5.7
Aruba Networks Mobility Controllers 2.5.4.25
Aruba Networks Mobility Controllers 2.5.2.11
Aruba Networks Mobility Controllers 2.4.8.11-FIPS
Aruba Networks Mobility Controllers 2.3.6.15
描述:
BUGTRAQ  ID: 27144

Aruba Mobility Controller可为企业提供移动接入解决方案。

Aruba Mobility Controller可能使用外部认证方式认证管理和VPN用户。LDAP认证组件中的漏洞可能允许非授权使用LDAP认证的管理和PAP用户。

能够访问Aruba Mobility Controller的管理或VPN接口且知道已有帐户的攻击者可以以该帐号的级别访问Aruba Mobility Controller或VPN服务。

<*来源:Aruba Networks
  
  链接:http://secunia.com/advisories/28357/
        http://marc.info/?l=bugtraq&m=119955401732254&w=2
*>

建议:
临时解决方法:

* 不要向不可信任的网络暴露Mobility Controller管理接口
* 禁用LDAP认证
* 禁止LDAP服务器中的匿名绑定

厂商补丁:

Aruba Networks
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.arubanetworks.com/support

浏览次数:14
严重程度:0
来源:绿盟科技

Copyright © 2007-2009 天津市公安局公共信息网络安全监察总队 版权所有
建议使用:1024*768分辨率,16Bit颜色、Netscape6.0、IE5.0以上版本浏览器
技术支持:天津克利斯科技有限公司