Argitalpen data: 2019/07/02
Garrantzia: Handia
Kaltetutako baliabideak:
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), honako bertsioak:
- 14.0.0 - 14.1.0.5;
- 13.0.0 - 13.1.1.4;
- 12.1.0 - 12.1.4;
- 11.5.1 - 11.6.4.
- F5 SSL Orchestrator, ondoko bertsioak:
Azalpena:
F5ek hainbat eratako ahultasunen berri eman du: XSS, DoS, komandoen injekzioa eta ezagutarazi gabeko trafikoaren fluxua.
Konponbidea:
Honako bertsioetara eguneratzea:
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator):
- 15.0.0;
- 14.1.0.6;
- 13.1.1.5;
- 12.1.4.1;
- 11.6.4;
- 11.5.9.
- F5 SSL Orchestrator:
Xehetasuna:
- Islatutako cross-site scripting (XSS) erako ahultasunak daude konfigurazio utilitate modura ere ezaguna den Traffic Management User Interface-ren (TMUI) ezagutarazi gabeko orrialde batean. Hori baliatuz erasotzaile batek komandoak exekuta litzake administratzaile pribilegioekin. Ahultasun horietarako CVE-2019-6625 eta CVE-2019-6626 identifikatzaileak erreserbatu dira.
- Urruneko erasotzaile batek zerbitzua eten lezake, Traffic Management Microkernel-en (TMM) berrabiatzea eraginez. Arazo horrek soilik eragiten die SNAT gaituta dutenean proxy-ren kateatze garden bat egiten duten F5 SSL Orchestrator sistemei. Ahultasun horretarako CVE-2019-6627 eta CVE-2019-6630 identifikatzaileak erreserbatu dira.
- Ezagutarazi gabeko iControl REST worker ahula da administratzaile pribilegioak dituen erabiltzaile batek komandoak injektatzen dituenean. Arazo honek eragiten die bai iControl RESTen eta bai tmsh-en inplementazioei. Ahultasun horretarako CVE-2019-6620, CVE-2019-6621 eta CVE-2019-6622 identifikatzaileak erreserbatu dira.
- BIG-IP iSession zerbitzari birtualera bidaltzen den ezagutarazi gabeko trafikoak eragin dezake Traffic Management Microkernel (TMM) berrabiatzea, zerbitzuaren ukapen egoera (DoS) sortuz. Ahultasun horretarako CVE-2019-6623 identifikatzailea erreserbatu da.
- Urruneko erasotzaile batek Traffic Management Microkernel (TMM) berrabiatzea eragin dezake, sistema ahulean zerbitzuaren ukapen egoera (DoS) sortuz. Ahultasun horretarako CVE-2019-6624 identifikatzailea erreserbatu da.
- Eskuragarritasun alturako (HA) konfiguratutako BIG-IP PEM sistema batean eta baldintza batzuetan, TMM prozesua amai daiteke eta berrabiarazi, BIG-IP PEM trafikoa OpenVPN classifier-ekin prozesatzen den bitartean. Ahultasun horretarako CVE-2019-6628 identifikatzailea erreserbatu da.
- Trafikoaren prozesamendua eten egiten da Traffic Management Microkernel (TMM) berrabiatzen den bitartean. Kaltetutako F5 gailua gailuen talde bateko zati bezala konfiguratzen denean, akats batengatik sistemak kommutazio bat aktibatuko du gailu parekidean. Ahultasun horretarako CVE-2019-6629 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna