Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Fecha de publicación: 07/12/2018

Importancia: Crítica

Recursos afectados:

• BIG-IP (APM) versiones:
  • 14.0.0
  • 13.0.0 - 13.1.1
  • 12.1.0 - 12.1.3
• BIG-IP APM Clients versión desde la 7.1.5 hasta la 7.1.7, ambas incluidas.
• BIG-IP Edge Client versión desde la 7101 hasta la 7150, ambas incluidas.

Descripción:

La explotación exitosa de esta vulnerabilidad podría permitir que un usuario local sin privilegios vea información sensible, manipule ciertos datos o que adquiera privilegios de superusuario en el host del cliente local.

Solución:

• BIG-IP (APM) en las versiones afectadas, por el momento no hay solución.
• BIG-IP APM Clients actualizar a la versión 7.1.7.2
• BIG-IP Edge Client en las versiones afectadas, por el momento no hay solución.

Detalle:

• El componente svpn del cliente F5 BIG-IP APM, se ejecuta como un proceso privilegiado y podría permitir que un usuario sin privilegios obtenga la propiedad de los archivos con atributos de root en el host del cliente local en condiciones de carrera. Se ha asignado el identificador CVE-2018-15332 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad