Corpus Solutions Security Advisory: Zranitelnosti BIG-IP (F5)
26. 11. 2019
TLS 1.3 vulnerability
Označení:
CVE-2019-6659 (závažnost podle CVSS 7.5)
Popis:
Produkt BIG-IP ve verzi 14.0.0-14.1.0.1 mohou virtuální servery BIG-IP s povoleným protokolem TLSv1.3 zaznamenat odmítnutí služby v důsledku nezveřejněných příchozích zpráv.
Zranitelné produkty:
- BIG-IP 14.0.0-14.1.0.1
Řešení:
- Aktualizace na verzi 14.1.0.2.
Reference:
TMM vulnerability
Označení:
CVE-2019-6660 (závažnost podle CVSS 7.5)
Popis:
U BIG-IP 14.1.0-14.1.2, 14.0.0-14.0.1 a 13.1.0-13.1.1 mohou nezveřejněné HTTP požadavky spotřebovat nadměrné množství systémových prostředků, které mohou vést až k odmítnutí služby.
Zranitelné produkty:
- BIG-IP 14.1.0-14.1.2
- BIG-IP 14.0.0-14.0.1
- BIG-IP 13.1.0-13.1.1
Řešení:
- Aktualizace na verzi dle doporučení výrobce.
Reference:
BIG-IP APM apd vulnerability
Označení:
CVE-2019-6661 (závažnost podle CVSS 7.5)
Popis:
Když systém BIG-IP APM ve zranitelné verzi zpracovává určité požadavky, démon APD / APMD může spotřebovat nadměrné zdroje.
Zranitelné produkty:
- BIG-IP 14.1.0-14.1.2
- BIG-IP 14.0.0-14.0.1
- BIG-IP 13.1.0-13.1.3.1
- BIG-IP 12.1.0-12.1.4.1
- BIG-IP 11.5.1-11.6.5
Řešení:
- Aktualizace na verzi dle doporučení výrobce.
Reference:
BIG-IP restjavad vulnerability
Označení:
CVE-2019-6662 (závažnost podle CVSS 6.5)
Popis:
Na zranitelné verzi BIG-IP jsou zaznamenány do citlivé informace lokálních souborů žurnálu a/nebo cílů vzdáleného protokolování, pokud démon restjavad zpracovává neplatný požadavek. Uživatelé s přístupem k souborům protokolu by si tato data mohli zobrazit.
Zranitelné produkty:
- BIG-IP 13.1.0-13.1.1.4
Řešení:
- Aktualizace na verzi dle doporučení výrobce.
Reference:
BIG-IP / BIG-IQ / Enterprise Manager / F5 iWorkflow Configuration utility vulnerability
Označení:
CVE-2019-6663 (závažnost podle CVSS 5.5)
Popis:
Uvedené zranitelné verze produktů jsou napadnutelné útokem typu “Anti DNS Pinning (DNS Rebinding)”.
Zranitelné produkty:
- BIG-IP 15.0.0-15.0.1, 14.0.0-14.1.2.2, 13.1.0-13.1.3.1, 12.1.0-12.1.5 a 11.5.1-11.6.5.1
- BIG-IQ 7.0.0, 6.0.0-6.1.0, a 5.2.0-5.4.0
- iWorkflow 2.3.0
- Enterprise Manager 3.1.1
Řešení:
- Aktualizace na verzi dle doporučení výrobce.
Reference:
TMOS vulnerability
Označení:
CVE-2019-6664 (závažnost podle CVSS 7.5)
Popis:
Na BIG-IP za určitých podmínek nesledují síťové ochrany na portu pro správu aktuální osvědčené postupy.
Zranitelné produkty:
- BIG-IP 15.0.0
- BIG-IP 14.1.0-14.1.0.6
Řešení:
- Aktualizace na verzi dle doporučení výrobce.
Reference:
Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál