建议及时分类
更新网络安全设备公司F5警告了一系列影响其大型IP产品的漏洞,包括跨站脚本(XSS)据说会带来关键风险。
漏洞(CVE-2020-5948)意味着“ Icontrol休息中未公开的端点允许反映XSS攻击”。
建议提示分诊所,因为如果未进行修补可能会导致“如果授予受害者用户的管理员角色,则可以实现“大型IP系统的完全妥协”,并且在成功的攻击中。
多个大型IP版本受到影响。用户需要更新到分支版本
13.1.3.5,14.1.2.8,15.1.1或16.0.1(适当),如在咨询来自F5。
这脆弱性影响F5应用程序安全经理(ASM),Web应用程序防火beplay体育能用吗墙;本地流量管理器(LTM),一种负载平衡产品;访问策略经理(APM)身份验证技术;和应用程序加速器经理(AAM);在其他产品模块中。
NVD给出了该缺陷的CVSSV3评分为9.6,或者批判性F5纠纷。
F5的工程代表每日swbeplay2018官网ig:“我们不知道为什么NVD认为这是关键。F5不认为是,我们将其得分为7.5。”
FTP断裂
另一组补丁,也由F5发布,解决了文件传输协议(FTP)渠道的拒绝服务风险。
更具体地说,在“ Big-IP版本14.0.0.0-14.0.1和13.1.0-13.1.3.4中,发送到使用FTP配置文件配置的虚拟服务器发送的某些流量模式可能会导致FTP通道破裂”。
漏洞(CVE-2020-5949)CVSS得分为7.5(高风险)。
建议用户适当地升级到版本13.1.3.5或14.1.0。
12月11日发布的最后一组补丁程序的第三组地址,请说明内存泄漏脆弱性。
这个漏洞(CVE-2020-27713)仅限于Big-IP版本13.1.3.4,但对受影响的模块产生了很大影响。
NIST的摘要解释说:“在版本13.1.3.4上的某些配置中,当将大型IP AFM HTTP安全配置文件应用于虚拟服务器时,并且Big-IP系统接收具有特定特征的请求,并重置连接,并且该连接是重置的,并且流量管理微核(TMM)泄漏内存。”
在火线中
安全行业观察者几个月来一直在其雷达上的脆弱性和剥削,因为他们已经成为持续渎职的饲料。
在2020年7月,F5警告了Big-IP流量管理用户界面(TMUI)中的远程代码执行(RCE)漏洞(CVE-2020-5902),可用于劫持脆弱系统。
这CVE-2020-5902此后,脆弱性已成为大规模扫描的目标,以及与中国和伊朗国家支持黑客有关的攻击。
此故事已更新以添加F5的评论
