Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/12/07

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• BIG-IP (APM), ondoko bertsioak:
  • 14.0.0
  • 13.0.0 - 13.1.1
  • 12.1.0 - 12.1.3
• BIG-IP APM Clients, 7.1.5etik 7.1.7ra bitarteko bertsioak, biak barne.
• BIG-IP Edge Client, 7101etik 7150era bitarteko bertsioak, biak barne.

Azalpena:

Ahultasun hori arrakastaz baliatuz gero pribilegiorik gabeko erabiltzaile lokal batek informazio sentikorra ikus lezake, datu jakin batzuk manipulatu edo bezero lokalaren host-ean supererabiltzaile pribilegioak eskuratu.

Konponbidea:

• Kaltetutako BIG-IP (APM) bertsioen kasuan oraingoz ez dago konponbiderik.
• BIG-IP APM Clients-en kasuan, 7.1.7.2 bertsiora eguneratu.
• Kaltetutako BIG-IP Edge Client bertsioen kasuan oraingoz ez dago konponbiderik.

Xehetasuna:

• F5 BIG-IP APMren bezeroaren svpn osagaia pribilegiodun prozesu baten modura exekutatzen da, eta hori baliatuz, pribilegiorik gabeko erabiltzaile batek root atributuak dituzten fitxategien jabetza eskura lezake bezero lokalaren host-ean lasterketa baldintzetan. Ahultasun horretarako CVE-2018-15332 identifikatzailea erabili da.