188金宝搏的网址_188金博的官方网址导航

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256注意:以下文档的当前版本可在这里获取:https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbhf03730en_us SUPPORT COMMUNICATION - SECURITY BULLETIN文档ID: hpesbhf03730en_us2 HPESBHF03730 rev.2 - HPE Aruba ClearPass Policy Manager, Multiple vulnerability NOTICE:本安全公告中的信息应尽快采取行动。发布日期:2017-06-09最后更新:2017-06-09潜在安全影响:远程:访问限制绕过，任意命令执行，跨站脚本(XSS)，信息披露，权限升级来源:潜在的安全漏洞已经在HPE Aruba ClearPass Policy Manager中被识别出来。这些漏洞可以被远程利用，以允许绕过访问限制、任意命令执行、跨站脚本(XSS)、特权升级和信息泄露。引用:- PSRT110521 - CVE-2017-5824 -未经认证的远程代码执行- CVE-2017-5825 -权限升级- CVE-2017-5826 -通过认证的远程代码执行- CVE-2017-5827 - XSS - CVE-2017-5828 -通过Xml外部实体(XXE)任意命令执行- CVE-2017-5829 -访问限制绕过- CVE-2017-5647信息披露支持的软件版本*:只列出受影响的版本。—Aruba ClearPass Enterprise Software—All ClearPass 6.6。CVE-2017-5647/CVE-2017-5824/CVE-2017-5829 CVSS V2 Score/Vector CVE-2017-5647 7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 5.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N) CVE-2017-5824 8.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 7.6 (AV:N/AC:H/Au:N/C:C/I:C/A:C) CVE-2017-5825 5.0 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L 4.6 (AV:N/AC:H/Au:S/C:P/I:P/A:P) CVE-2017-5826 5.0 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L 4.6 (AV:N/AC:H/Au:S/C:P/I:P/A:P) CVE-2017-5827 4.6 CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:L 4.6 (AV:N/AC:H/Au:S/C:P/I:P/A:P) CVE-2017-5828 4.2 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N 3.6 (AV:N/AC:H/Au:S/C:P/I:P/A:N) CVE-2017-5829 3.6 CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N 2.6 (AV:L/AC:H/Au:N/C:P/I:P/A:N) Information on CVSS is documented in HPE Customer Notice HPSN-2008-002 here: https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c01345499 Hewlett Packard Enterprise would like to thank the following researchers for reporting issues to security-alert@hpe.com: * Luke Young (@TheBoredEng) for reporting CVE-2017-5824 through the BugCrowd managed bug bounty program. * Luke Young (@TheBoredEng) for reporting CVE-2017-5825 through the BugCrowd managed bug bounty program. * "fmast" for reporting CVE-2017-5826 through the BugCrowd BugCrowd managed bug bounty program. * Phil Purviance (@superevr) of Bishop Fox for reporting CVE-2017-5827. * V. Harishkumar (@harishkumar0394) for reporting CVE-2017-5828 through the BugCrowd managed bug bounty program. * Luke Young (@TheBoredEng) for reporting CVE-2017-5829 through the BugCrowd managed bug bounty program. RESOLUTION HPE Aruba has provided the following resolution - Upgrade to ClearPass Policy Manager version 6.6.5 and then apply an additional hotfix. ClearPass 6.6.5 was released on March 30, 2017 and an updated version was released April 12, 2017. The additional hotfix is applicable to both versions of ClearPass 6.6.5 and was released on May 24, 2017. All future releases of ClearPass will include these fixes when released. Installing the Patch Online Using the Software Updates Portal: 1. Open ClearPass Policy Manager and go to `Administration - Agents and Software Updates - Software Updates`. 2. In the Firmware and Patch Updates area, find the "ClearPass Cumulative Patch 5 for 6.6.0, 6.6.1, 6.6.2, 6.6.3 and 6.6.4" and click the Download button in its row. 3. Click Install. 4. When the installation is complete and the status is shown as "Needs Restart", proceed to restart ClearPass. After reboot, the status for the patch will be shown as Installed in `Administration - Agents and Software Updates - Software Updates page`. 5. While in the Firmware and Patch Updates area, find the "ClearPass 6.6.5 Hotfix Patch for CVE-2017-5647, CVE-2017-5824, and CVE-2017-5829" and click the Download button in its row. 6. Click Install. 7. When the installation is complete and the status is shown as "Needs Restart", proceed to restart ClearPass. After reboot, the status for the patch will be shown as Installed. The ClearPass Policy Manager version number will not change. Installing the Patch Offline Using the Patch File from : 1. 从支持站点下载“6.6.0累积修补程序5（6.6.5）”和“CVE-2017-5647、CVE-2017-5824和CVE-2017-5829的ClearPass 6.6.5修补程序”。2.打开ClearPass策略管理器管理UI并转到“管理-代理和软件更新-软件更新”。3.在固件和修补程序更新区域的底部，单击导入更新并浏览到下载的“6.6.0累积修补程序5（6.6.5）”文件。4.单击安装。5.当安装完成且状态显示为需要重新启动时，继续重新启动ClearPass。重新启动后，修补程序的状态将显示为“管理-代理和软件更新-软件更新”页面中的“已安装”。6.在固件和修补程序更新区域的底部，单击导入更新并浏览下载的“ClearPass 6.6.5 CVE-2017-5647、CVE-2017-5824和CVE-2017-5829修补程序”文件。7.单击安装。8.安装完成且状态显示为“需要重新启动”时，继续重新启动ClearPass。重新启动后，修补程序的状态将显示为已安装。ClearPass策略管理器版本号不会更改**注意：****临时缓解**：这些攻击需要网络访问ClearPass管理Web界面才能执行。作为一般最佳实践，建议所有管理访问仅限于受信任的用户网络。这适用于策略管理器管理Web界面和SSH控制台。这最好通过全面的网络安全策略来实现，该策略限制对ClearPass管理接口的管理访问。*通过导航到“管理-服务器管理器-服务器配置-“服务器名称”-网络-限制访问”并仅允许非公共或网络管理网络，可以限制对策略管理器管理Web界面的访问**注：**如果需要任何帮助，请联系HPE阿鲁巴技术支持。历史版本：1（第1版）-2017年5月25日初始版本：2（第2版）-2017年6月9日更新的受影响版本第三方安全修补程序：应根据客户的修补程序管理策略应用将安装在运行惠普企业（HPE）软件产品的系统上的第三方安全修补程序。支持：有关实施本安全公告建议的问题，请联系普通HPE服务支持渠道。有关此安全公告内容的其他问题，请向安全部门发送电子邮件-alert@hpe.com. 报告：报告任何HPE支持的产品的潜在安全漏洞：Web表单：https://www.hpe.com/info/report-security-vulnerability 电子邮件：安全-alert@hpe.com订阅：启动订阅以通过电子邮件接收未来的HPE安全公告警报：http://www.hpe.com/support/Subscriber_Choice 安全公告档案：A最近发布的安全公告列表如下：http://www.hpe.com/support/Security_Bulletin_Archive 软件产品类别：软件产品类别在标题中由HPSB后面的两个字符表示。3C=3COM 3P=第三方软件GN=HPE通用软件HF=HPE硬件和固件MU=多平台软件NS=不间断服务器OV=OpenVMS PV=ProCurve ST=存储软件UX=HP-UX版权2016 Hewlett-Packard Enterprise Hewlett-Packard Enterprise不对其中包含的技术或编辑错误或遗漏负责在此所提供的信息“按原样”提供，不提供任何形式的担保。在法律允许的范围内，HP或其附属公司、分包商或供应商均不对意外、特殊或后果性损害（包括停机成本）负责；利润损失；与采购替代产品或服务有关的损害赔偿；或因数据丢失或软件恢复而造成的损坏。本文件中的信息如有更改，恕不另行通知。此处引用的Hewlett-Packard Enterprise和Hewlett-Packard Enterprise产品名称是Hewlett-Packard Enterprise在美国和其他国家/地区的商标。此处提及的其他产品和公司名称可能是其各自所有者的商标-----开始PGP签名------版本：GnuPG v1 iQEcBAEBCAAGBQJZOteWAAoJELXhAxt7SZaitioH/0d/bMunqmwGipjrG4YS2B4C LS3QyfnEjlpxWBEKK74+BCfWVBHcoZnp7VwIdXaR/ZM6DR6LT1EATPUPVMFOZ8OW WOS7FFPTPXFXEIMOZ0AS6X1XPIDEGBAIPJIVZ6ZEC17XZIZYF3RGDOQDLUDZN2 JLKKKK74+BCFWV7VYK7VYK3EJBADA+SBJJJJJYK4YK4KKKKZZYYKKZZYYK4CP3MVQIHDH0ITWSG6EL0ZRJEZF5NWIVW2LKXJPHLGDHB9JGYAR9MSLWDBFHK5PWU xmDGTsHXg9q+HXZJ00Bz8QDD+9cHY2Hm04f7jG4Qt7ZYFQL5zhSOYR7l4liUX2w==fSRG-----结束PGP签名-----