雲安全日報201029:負載均衡廠商F5 BIG-IP發現拒絕服務漏洞,需要盡快升級
2020年10月29日16:15

原標題:雲安全日報201029:負載均衡廠商F5 BIG-IP發現拒絕服務漏洞,需要盡快升級

F5(F5 Networks)是全球領先的應用交付網絡(ADN)領域的廠商。10月28日,F5 BIG-IP(負載均衡)多個產品發現重要漏洞,需要盡快升級。以下是漏洞詳情:

漏洞詳情

1.CVE-2020-5931 CVSS評分:7.5 高

來源:

https://support.f5.com/csp/article/K25400442

具有OneConnect(F5負載均衡設備中一種網絡鏈接機製)配置文件的虛擬服務器可能無法正確處理WebSocket相關的HTTP響應頭,導致流量管理微內核(TMM)重新啟動。攻擊者可以對Big-IP執行拒絕服務(DoS)攻擊使TMM進程重新啟動。

2.CVE-2020-5932 CVSS評分:6.4 高

來源:

https://support.f5.com/csp/article/K12002065

此漏洞允許經過身份驗證的攻擊者在另一個經過身份驗證的BIG-IP ASM管理用戶預覽阻止頁面響應正文時執行跨站點腳本(XSS)攻擊。阻止頁響應正文位於安全策略配置的“阻止和響應頁”選項卡的“阻止頁預設”部分。

3.CVE-2020-5933 CVSS評分:5.9 中

來源:

https://support.f5.com/csp/article/K26244025

此漏洞可能導致BIG-IP系統內存不足,從而導致拒絕服務(DoS)。

Slowloris攻擊是一種針對線程化web服務器的DoS攻擊。Slowloris攻擊試圖通過發送從未完成的HTTP請求來獨占web服務器上所有可用的請求處理線程。因為每個請求都消耗一個線程,Slowloris攻擊最終會消耗web服務器的所有連接容量,從而有效地拒絕合法用戶的訪問。

4.CVE-2020-5935 CVSS評分:5.9 中

來源:

https://support.f5.com/csp/article/K62830532

當系統通過與MQTT(Message Queuing Telemetry Transport,消息隊列遙測傳輸協議,是一種基於發佈/訂閱(Publish/Subscribe)模式的輕量級通訊協議,該協議構建於TCP/IP協議上)概要文件相關聯的BIG-IP虛擬服務器處理MQTT流量,並且iRule對該流量執行操作時,流量管理微內核(TMM)可能會生成一個核心文件並重新啟動,從而導致高可用性故障轉移事件。

5.CVE-2020-5938 CVSS評分:3.1 低

來源:

https://support.f5.com/csp/article/K76610106

當與配置的、經過身份驗證的對等方協商隧道時,對等方可以協商一個不同於BIG-IP配置所允許的密鑰長度。

可以使用與BIG-IP配置中指定的密鑰長度不同的密鑰長度來創建IPsec連接,這可能會導致連接的加密強度低於配置的加密強度,這樣大大降低了可用性。

受影響產品

上述漏洞影響 BIG-IP 應用安全管理器ASM,APM 多個版本,流量管理器LTM,BIG-IQ Centralized Management雲管理解決方案多個版本,信令交付管理器Traffix SDC(主要用於漫遊服務和移動管理)等(具體可以參見官網)

解決方案

F5 Networks廠商已經發佈了安全更新,具體可以訪問官方網址進行升級修復。

查看更多漏洞信息 以及升級請訪問官網:

https://support.f5.com/csp/bug-tracker

關注我們Facebook專頁
    相關新聞
      更多瀏覽