Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/07/01

Garrantzia: Kritikoa

Kaltetutako baliabideak:

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), bertsioak:

• 15.1.0 eta 15.0.0;
• 14.1.0tik 14.1.2ra;
• 13.1.0tik 13.1.3ra;
• 12.1.0tik 12.1.5era;
• 11.6.1etik 11.6.5era;

Azalpena:

Positive Technologies enpresako Mikhail Klyuchnikov ikertzaileak F5 erakundeari larritasun kritikoko ahultasun baten eman zion; kodearen urrutiko exekutatze motakoa da, eta TMUI (Traffic Management User Interface) sistemari eragiten dio.

Konponbidea:

Kaltetutako produktuak honako bertsioren batera eguneratzea:

• 15.1.0.4;
• 14.1.2.6;
• 13.1.3.4;
• 12.1.5.2;
• 11.6.5.2.

Xehetasuna:

Ahultasun horren bidez, TMUI sarerako sarbidea duen erasotzaile batek (konfigurazio erabilera gisa ere ezaguna), Self IPs edota BIG-IP administrazio portuaren bidez, sistemaren komando arbitrarioak exekuta litzake, artxiboak sortu edo ezabatu, zerbitzuak desgaitu edota Java kodea modu arbitrarioaren exekutatu. Horrek, sistema osoa konprometitu lezake. Ahultasun horretarako, CVE-2020-5902 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna