Vigil@nce : ArubaOS, déni de service via EAP
décembre 2008 par Vigil@nce
Un attaquant peut envoyer une trame EAP illicite afin de mener un
déni de service dans Aruba Mobility Controller.
– Gravité : 2/4
– Conséquences : déni de service du service
– Provenance : liaison radio
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 09/12/2008
PRODUITS CONCERNÉS
– Aruba Networks ArubaOS
DESCRIPTION
Le protocole EAP (Extensible Authentication Protocol) est utilisé
lors de l’authentification classique ou sans fil (802.11 avec WPA
et WPA2 Enterprise).
Lorsque Aruba Mobility Controller reçoit une trame EAP illicite,
le processus courant se stoppe. Les détails techniques ne sont pas
connus.
Un nouveau processus est automatiquement redémarré, donc le déni
de service est temporaire.
Un attaquant peut ainsi envoyer une trame EAP illicite afin de
mener un déni de service dans Aruba Mobility Controller.
CARACTÉRISTIQUES
– Références : AID-12808, BID-32694, VIGILANCE-VUL-8298
– Url : http://vigilance.fr/vulnerabilite/8298