Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun F5en BIG-IPn

Argitalpen data: 2018/10/18

Garrantzia: Handia

Kaltetutako baliabideak:

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator):
    • 13.0.0tik 13.1.1era bitarteko bertsioak.
    • 12.1.0tik 12.1.3ra bitarteko bertsioak.
  • BIG-IP APM Clients: 7.1.5etik 7.1.6ra bitarteko bertsioak.
  • BIG-IP Edge Client: 7101etik 7160ra bitarteko bertsioak.

Azalpena:

Kritikotasun altu eta ertaineko hainbat ahultasun aurkitu dira BIG-IP plataformako produktuen hainbat modulutan. Ahultasun horiek baliatuz erasotzaile batek Cross-Site Scripting (XSS) bat exekuta lezake, politiken zerbitzarian endpoints-en egiaztapenak saihestuz fitxategi bat injekta lezake, edo erabiltzaileen beste konexio batzuetako saioetako datuak agerian utz litzake.

Konponbidea:

F5ek erabiltzaileen eskura jarri ditu ahultasunak konpontzeko hainbat eguneraketa, bertsioen arabera:

  • 14.x adarreko bertsioetarako, 14.0.0.0 bertsiora eguneratzea.
  • 13.x adarreko bertsioetarako, 13.1.1.2 bertsiora eguneratzea.
  • 12.x adarreko bertsioetarako, 12.1.3.7 bertsiora eguneratzea.
  • 7.1.x adarreko bertsioetarako, 7.1.7 bertsiora eguneratzea.
  • 71xx adarreko bertsioetarako, 7170 bertsiora eguneratzea.

Xehetasuna:

Aurkitutako ahultasunak honakoak dira:

  • BIG-IP Configuration utilitatearen erakutsi gabeko orri batean dagoen Cross-Site Scripting (XSS) erako ahultasun bat baliatuz, erabiltzaile autentifikatu batek JavaScript exekuta lezake une honetan konektatuta dagoen erabiltzailearentzat. Ahultasun hori baliatzeko, xede den host zehatzaren izena barnean hartzen duen eta bereziki diseinatuta dagoen URL bat bisitatu behar du erabiltzaileak. Ahultasun horretarako CVE-2018-15312 identifikatzailea erreserbatu da.
  • APM Edge Client-ek duen ahultasun bat baliatuz, erasotzaile batek liburutegiko fitxategi bat injekta lezake, politiken zerbitzariak kargatuko duena, endpoints-en egiaztapenak saihestuz. Mac OS X eta Linux plataformetarako endpoints-en ikuskaritza osagaiak arazo hau pairatzen du. Ahultasun horretarako CVE-2018-15316 identifikatzailea erreserbatu da.
  • Erasotzaile lokal batek XSS eraso bat egin lezake beste erabiltzaile batzuen sarbideak dituzten BIG-IP konfigurazio utilitatearen orrialdeetan islatuko litzatekeena. Ahultasun horretarako CVE-2018-15315 identifikatzailea erreserbatu da.
  • Ahultasun hori gertatzeko ondoko baldintzak eman behar dira: APM BIG-IP sistema backend zerbitzariei NTLM SSO autentifikazioa egiteko konfiguratuta egotea eta, gainera, BIG-IP APM sistemaren aurrean proxy batek erabiltzaile ezberdinen konexioak multiplexatzea.

Etiketak: Eguneraketa, Ahultasuna