HPE Aruba Networking Issues Security Updates for ClearPass Policy Manager
2025/02/06 SecurityOnline — HPE Aruba Networking がリリースしたのは、ClearPass Policy Manager (CPPM) ソフトウェアに存在する複数の脆弱性に対処するセキュリティ・アップデートである。脆弱性の深刻度の範囲は Medium〜High であり、機密データへの不正にアクセス/任意のコード実行/権限の昇格などを、攻撃者に許す可能性があるという。
最も深刻な脆弱性の 1つである CVE-2025-23058 (CVSS:8.8) は、認証済の権限の低い攻撃者に対して、管理機能へのアクセスを許すものだ。
もう1つの注目すべき脆弱性である CVE-2024-7348 (CVSS:7.5) は、CPPM の PostgreSQL コンポーネントに影響を及ぼすものであり、攻撃者に対して任意の SQL コードの実行を許すという
残りの脆弱性を列挙すると、機密情報の漏洩 CVE-2025-23059/機密データの露出 CVE-2025-23060/認証済の攻撃者によるリモート・コマンドインジェクション CVE-2025-25039 などがある。これらの脆弱性の CVSS v3.1 ベース・スコアは 4.7 ~ 6.8 であり、Medium レベルを示している。
すでに HPE Aruba Networking は、アップデート版をリリースし、これらの脆弱性を軽減している。すべてのユーザーに強く推奨されるのは、CPPM ソフトウェアを最新バージョンにアップグレードすることだ。パッチが適用されたバージョンは、6.12.x ブランチの場合は 6.12.4 以上であり、6.11.x ブランチの場合は 6.11.10 以上となる。
HPE Aruba Networking ClearPass Policy Manager を使用している組織は、以下のセキュリティ対策を、直ちに実施する必要がある。
- パッチが適用されたバージョンである 6.12.4+ および 6.11.10+ へのアップグレード。
- 読み取り専用アクセスの無効化:CVE-2025-23058 の場合。
- 管理インターフェースへのアクセスを:専用の VLAN またはファイアウォール制御ゾーンに制限する。
- ログを監視することで、疑わしいアクティビティや不正な管理アクションの有無を確認する。
- 影響を受けるバージョンを使用している場合は、PostgreSQL セキュリティ更新を適用する。
HPE CPPM における複数の脆弱性が FIX しました。もっとも深刻度が高いものは、CVSS 値 8.8 となっています。ご利用のチームは、ご確認ください。HPE に関連する直近のポストは、2025/01/16 の「HPE Aruba AOS の脆弱性 CVE-2025-23051/23052 が FIX:ただちにパッチを!」です。よろしければ、HPE で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.