Aruba Mobility Controller跨站脚本漏洞

Aruba Mobility Controller跨站脚本漏洞 Aruba Mobility Controller可为企业提供移动接入解决方案。Aruba Mobility Controllers的TACACS认证组件可能允许非授权的Web UI/SSH/Telnet访问，但TACACS不是默认的认证方式；Aruba Mobility Controllers可能提供一个基于Web的管理和captive portal接口，向这个web UI提供畸形输入可以导致向用户显示输入，导致跨站脚本安全。 

发布日期：2008-05-15 

更新日期：2008-05-19 

受影响系统： 

Aruba Networks Mobility Controllers 3.3.1.x 

Aruba Networks Mobility Controllers 3.2.0.x 

Aruba Networks Mobility Controllers 3.1.1.x-FIPS 

Aruba Networks Mobility Controllers 3.1.1.x 

Aruba Networks Mobility Controllers 2.5.6.x 

Aruba Networks Mobility Controllers 2.5.5.x 

Aruba Networks Mobility Controllers 2.4.8.x-FIPS 

描述： 

---------------------------------------------------------------------------- 

BUGTRAQ ID: 29240 

Aruba Mobility Controller可为企业提供移动接入解决方案。 

Aruba Mobility Controllers的TACACS认证组件可能允许非授权的Web UI/SSH/Telnet访问，但TACACS不是默认的认证方式；Aruba Mobility Controllers可能提供一个基于Web的管理和captive portal接口，向这个web UI提供畸形输入可以导致向用户显示输入，导致跨站脚本安全。 

<*来源：Robbie (Rupinder) Gill （rgill@arubanetworks.com） 

链接：http://secunia.com/advisories/30262/ 

http://marc.info/?l=bugtraq&m=121086563526116&w=2 

*> 

建议： 

---------------------------------------------------------------------------- 

临时解决方法： 

* 对所有帐号禁用TACACS认证。 

* 不要向不可信任的网络暴露Mobility Controller管理接口。 

厂商补丁： 

Aruba Networks 

-------------- 

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： 

http://www.arubanetworks.com/support