Argitalpen data: 2020/03/27
Garrantzia: Altua
Kaltetutako baliabideak:
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), honako bertsio hauek:
- 15.0.0 - 15.0.1 eta 15.1.0.1;
- 14.0.0 - 14.1.2;
- 13.1.0 - 13.1.3;
- 12.1.0 - 12.1.5;
- 11.5.2 - 11.6.5.
- BIG-IQ Centralized Management, honako bertsioak:
- 7.0.0;
- 6.0.0 - 6.1.0;
- 5.2.0 - 5.4.0.
Azalpena:
F5 produktuek dituzten hainbat ahultasun argitaratu dira. Horiek baliatuz erasotzaile batek zerbitzuaren ukapen egoera eragin lezake, pribilegioak eskalatu edo Traffic Management Microkernel (TMM) ustekabean itxi.
Konponbidea:
Bertsio bakoitzaren arabera dagokion eguneraketa aplikatzea.
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator):
- 15.1.0;
- 15.1.0.2;
- 15.0.1.1;
- 14.1.2.3;
- 13.1.3.2;
- 12.1.5.1.
- BIG-IQ Centralized Management, honako bertsioak:
- Une honetan ez du eguneraketarik
Xehetasuna:
- Ezagutarazi gabeko HTTP eskaerek zerbitzuaren ukapen egoera (DoS) eragin lezakete. HTTP profila behar da eta HTTP profila erabiltzen duen edozein BIG-IP modulu kaltetuta dago. Ahultasun horretarako CVE-2016-5857 identifikatzailea erreserbatu da.
- Rol ez administratiboak dituzten erabiltzaileek, esate baterako "Gonbidatua" edo "Baliabideen administratzailea", TMOS Shell-erako (tmsh) sarbidea badute, komando arbitrarioak exekuta litzakete pribilegio altuekin, bereziki diseinatutako tmsh komando bat erabiliz. Ahultasun horretarako CVE-2020-5858 identifikatzailea erreserbatu da.
- Erasotzaile batek, bereziki diseinatutako HTTP/3 mezuen bidez, TMM berrabiatzea eta aldi baterako akatsa ematea eragin lezake, BIG-IP host-etako trafikoa prozesatzean HTTP/3 QUIC profila konfiguratuta duenean. Eskuragarritasun altuko (HA) konfigurazioek huts egingo dute erreserbako host-aren gainean. Ahultasun horretarako CVE-2020-5859 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna