HPE上周發布安全公告,警告網路設備Aruba軟體3項漏洞,包含高風險等級的OpenSSL相關漏洞。
3項漏洞位於Aruba Fabric Composer,包括CVE-2024-4741與CVE-2026-23592、CVE-2026-23593。最重要的是CVE-2024-4741,為影響OpenSSL API中的SSL_free_buffers函式的使用已釋放記憶體(Use-After-Free)漏洞。在某些特定情況下,呼叫SSL_free_buffers函式可導致記憶體遭攻擊者存取。CVE-2024-4741是由OpenSSL軟體基金會發現及通報,CVSS風險值7.5。
HPE提醒,在特定條件的情境下,即使緩衝記憶體還在使用中,攻擊者也能成功呼叫SSL_free_buffers,因此,攻擊者會試圖刻意引發這些情境。只有直接呼叫SSL_free_buffers函式的應用程式才會曝險。HPE調查結論說,本函式鮮少為應用程式呼叫。未呼叫該函式的應用程式不受影響。
CVE-2026-23592則是Aruba Fabric Composer備份功能中的檔案不安全處理,可讓經驗證的攻擊者遠端執行程式碼。成功濫用本漏洞的攻擊者可在底層作業系統執行任意指令。CVSS風險值7.2,屬於高風險。第三項漏洞CVE-2026-23593為Aruba Fabric Composer網頁管理介面中的檔案讀取漏洞。濫用本漏洞可讓非經驗證的遠端攻擊者讀取系統目錄的檔案。CVSS風險值5.3,屬於中度風險。CVE-2026-23592和CVE-2026-23593都是由外部研究人員Daniel Jensen透過HPE Aruba抓漏獎勵大賽通報。
受影響版本為Aruba Networking Fabric Composer 7.2.3及以下版本,HPE已釋出修補漏洞的更新版本Aruba Networking Fabric Composer 7.3.0。應注意,其中只有7.2.3版還具有HPE支援,HPE不會修補舊版本。
目前HPE未接獲任何漏洞攻擊活動或濫用程式碼的公開訊息,HPE Aruba部門建議用戶,應將管理介面存取權限聚焦在專門的Layer 2 segment/VLAN,以及Layer 3以上,由防火牆政策管理,並且搭配用戶活動和資源使用的追蹤和紀錄。
熱門新聞
2026-02-01
2026-01-30
2026-01-30
2026-01-30