-----开始PGP签名邮件------散列：SHA256阿鲁巴产品安全咨询================================咨询ID:Aruba-PSA-2019-002 CVE:CVE-2019-9494发布日期：2019-Apr-13状态：未受影响修订：1标题=====WPA3多漏洞概述=======4月10日，2019年，Mathy Vanhoef和Eyal Ronen发表了一篇研究论文，记录了WPA3和EAP pwd（RFC 5931）实施中的一系列潜在漏洞。关于EAP pwd漏洞的详细信息尚未公布。本建议仅涵盖WPA3漏洞。受影响的产品==========================无。详细信息=====研究人员描述的问题仅影响配置为使用WPA3个人的网络。研究论文发表在https://wpa3.mathyvanhoef.com/. 研究人员报告了多个不同的实施问题：1。降级至WPA2如果客户/AP愿意使用WPA2-PSK进行操作，则可以将SAE提供的WPA3安全级别降级至WPA2-PSK。Aruba不认为这是“攻击”，因为网络已经被专门配置为支持WPA2。可以通过禁用转换模式来消除该行为。2.基于缓存的侧通道攻击（CVE-2019-9494）无法在Aruba产品上利用这种类型的攻击，因为无法在处理SAE操作的同一CPU上运行任意代码。3.资源消耗/拒绝服务攻击阿鲁巴产品对此类攻击具有足够的抵御能力。SAE的处理由不允许完全控制CPU的工作线程执行。4.基于时间的侧信道攻击（CVE-2019-9494）阿鲁巴的SAE实施不支持乘法组。仅支持椭圆曲线组。5.集团降级攻击阿鲁巴的SAE实施不支持弱势集团。解决方案===========无需执行任何操作。修订历史==================================2019年1月至2013年4月修订版/首次发布Aruba SIRT安全程序========================================================================================有关报告Aruba Networks产品中安全漏洞的完整信息，可通过以下网址获得安全事件方面的协助：//www.nexbus-cng.com/support-services/security-bulletins/ 对于报告*新*阿鲁巴网络安全问题，可将电子邮件发送至Aruba sirt（at）hpe.com。对于敏感信息，我们鼓励使用PGP加密。我们的公钥可在以下网址找到：//www.nexbus-cng.com/support-services/security-bulletins/ （c） 2019年版权归惠普企业公司阿鲁巴所有。本公告可在正文顶部给出的发布日期后自由重新分发，前提是重新分发的副本完整且未经修改，包括所有数据和版本信息-----4.vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvAXTHRN0JTUZYYQVAHELF1YBBUR4MH87IWPIG3LM8RBDLVZOO4CIPFUNBVJLIEAVO M7h5WcASz+r9IMGNI2FNl+XjGb5zDw==ex/P------结束PGP签名-----