F5(F5 Networks)是全球领先的应用交付网络(ADN)领域的厂商。10月28日,F5 BIG-IP(负载均衡)多个产品发现重要漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
1.CVE-2020-5931 CVSS评分:7.5 高
来源:
https://support.f5.com/csp/article/K25400442
具有oneConnect(F5负载均衡设备中一种网络链接机制)配置文件的虚拟服务器可能无法正确处理WebSocket相关的HTTP响应头,导致流量管理微内核(TMM)重新启动。攻击者可以对Big-IP执行拒绝服务(DoS)攻击使TMM进程重新启动。
2.CVE-2020-5932 CVSS评分:6.4 高
来源:
https://support.f5.com/csp/article/K12002065
此漏洞允许经过身份验证的攻击者在另一个经过身份验证的BIG-IP ASM管理用户预览阻止页面响应正文时执行跨站点脚本(XSS)攻击。阻止页响应正文位于安全策略配置的“阻止和响应页”选项卡的“阻止页默认”部分。
3.CVE-2020-5933 CVSS评分:5.9 中
来源:
https://support.f5.com/csp/article/K26244025
此漏洞可能导致BIG-IP系统内存不足,从而导致拒绝服务(DoS)。
Slowloris攻击是一种针对线程化web服务器的DoS攻击。Slowloris攻击试图通过发送从未完成的HTTP请求来独占web服务器上所有可用的请求处理线程。因为每个请求都消耗一个线程,Slowloris攻击最终会消耗web服务器的所有连接容量,从而有效地拒绝合法用户的访问。
4.CVE-2020-5935 CVSS评分:5.9 中
来源:
https://support.f5.com/csp/article/K62830532
当系统通过与MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议,是一种基于发布/订阅(Publish/Subscribe)模式的轻量级通讯协议,该协议构建于TCP/IP协议上)概要文件相关联的BIG-IP虚拟服务器处理MQTT流量,并且iRule对该流量执行操作时,流量管理微内核(TMM)可能会生成一个核心文件并重新启动,从而导致高可用性故障转移事件。
5.CVE-2020-5938 CVSS评分:3.1 低
来源:
https://support.f5.com/csp/article/K76610106
当与配置的、经过身份验证的对等方协商IPsec隧道时,对等方可以协商一个不同于BIG-IP配置所允许的密钥长度。
可以使用与BIG-IP配置中指定的密钥长度不同的密钥长度来创建IPsec连接,这可能会导致连接的加密强度低于配置的加密强度,这样大大降低了可用性。
受影响产品
上述漏洞影响 BIG-IP 应用安全管理器ASM,APM 多个版本,流量管理器LTM,BIG-IQ Centralized Management云管理解决方案多个版本,信令交付管理器Traffix SDC(主要用于漫游服务和移动管理)等(具体可以参见官网)
解决方案
F5 Networks厂商已经发布了安全更新,具体可以访问官方网址进行升级修复。
查看更多漏洞信息 以及升级请访问官网:
https://support.f5.com/csp/bug-tracker