Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en BIG-IP de F5

Fecha de publicación: 11/04/2019

Importancia: Alta

Recursos afectados:

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), versiones:
    • 14.0.0 - 14.1.0.1
    • 13.0.0 - 13.1.1.3
    • 12.10 - 12.1.4
    • 11.6.1 - 11.6.3
    • 11.5.1 - 11.5.8

Descripción:

F5 ha publicado múltiples vulnerabilidades del tipo XSS, denegación de servicio y almacenamiento inseguro de claves.

Solución:

  • Actualizar a las siguientes versiones:
    • 14.1.0.2
    • 13.1.1.4
    • 12.1.4.1
    • 11.6.4
    • 11.5.9

Detalle:

  • Los atributos tooltip y popover data-template en Bootstrap permiten ataques XSS. Se ha asignado el identificador CVE-2019-8331 para esta vulnerabilidad de severidad alta.
  • El sistema BIG-IP es vulnerable a un ataque de denegación de servicio (DoS) cuando se realiza la clasificación de URL utilizando el módulo APM. Se ha reservado el identificador CVE-2019-6610 para esta vulnerabilidad de severidad alta.
  • En las plataformas iSeries, el atributo secureKeyCapable no está establecido, lo que hace que la función Secure Vault no utilice la compatibilidad con el hardware F5 para almacenar la clave de la unidad. Como resultado, la clave de la unidad se almacena en texto plano. Se ha reservado el identificador CVE-2019-6609 para esta vulnerabilidad de severidad media.

Etiquetas: Vulnerabilidad