Corpus Solutions Security Advisory: Multiple F5 Vulnerability 1.0
29. 05. 2017
CVE-2017-6137
Přijatá komunikace během ochrany softwaru (pomocí synchronizace cookie) může způsobit narušení služby Traffic Management Microkernel (TMM).
Pokud je aktivovaná softwarová ochrana synchronizace pro virtuální server a dále je povolena funkce TSO (TCP Segmentation Offload) může specifická sekvence paketů způsobit spuštění služby TMM. Toto spuštění má za následek vygenerování neplatného výstupního MSS paketu. Výsledkem této operace s neplatným MSS může být zablokování komunikace sousedními zařízeními. Navíc na platformách BIG-IP 3900,6900, 8900, 8950, 11000 a 11050 může způsobit výpadek služby HSB.
Klasifikace zranitelnosti
CVSS: (AV:L/AC:M/Au:N/C:P/I:P/A:P)
Seznam postižených systémů
| Produkt | Zranitelná verze | Verze neobsahující zranitelnost | Severita | Zranitelné komponenty |
|---|---|---|---|---|
| BIG-IP LTM | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP AAM | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP AFM | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP Analytics | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP APM | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP ASM | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP DNS | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 |
13.0.0 12.1.2 HF1 |
Medium | TMM |
| BIG-IP Edge Gateway | None | --- | Not vulnerable | None |
| BIG-IP GTM | 11.6.1 HF1 | 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP Link Controller | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP PEM | 12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | TMM |
| BIG-IP PSM | None | 11.4.0 - 11.4.1 | Not vulnerable | None |
| BIG-IP WebAccelerator | None | --- | Not vulnerable | None |
| BIG-IP WebSafe |
12.1.0 - 12.1.2 12.0.0 HF3 - HF4 11.6.1 HF1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.4.0 - 11.6.1 |
Medium | None |
| ARX | None | 6.2.0 - 6.4.0 | Not vulnerable | None |
| Enterprise Manager | None | --- | Not vulnerable | None |
| BIG-IQ Cloud | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ Device | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ Security | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ ADC | None | --- | Not vulnerable | None |
| BIG-IQ Centralized Management | None | 5.0.0 - 5.2.0 | Not vulnerable | None |
| BIG-IQ Cloud and Orchestration | None | 1.0.0 | Not vulnerable | None |
| F5 iWorkflow | None | 2.0.0 - 2.1.0 | Not vulnerable | None |
| LineRate | None | 2.5.0 - 2.6.2 | Not vulnerable | None |
| Traffix SDC | None | 5.0.0 - 5.1.0 4.0.0 - 4.4.0 |
Not vulnerable | None |
Doporučené akce
Pokud používáte zranitelnou verzi doporučujeme přejít na verzi uvedenou ve sloupci „Verze neobsahující zranitelnost“. Pokud tabulka neobsahuje novou verzi, tak neexistuje možnost odstranění pomocí upgradu. Pro zmírnění následků doporučujeme následující postup.
Pro zmírnění zranitelností doporučujeme vypnout funkci TMM fast forward. Za tímto účelem je nutné přihlásit se CLI daného stroje a spustit následující příkaz: tmsh modify sys db tmm.ffwd.enable value false Po dokončení příkazu je nutné daný stroj restartovat.
CVE-2016-9253
Specifický websocket může způsobit výpadek služby virtuálního serveru nastaveného pro používání websocketů.
Při použití této zranitelnosti může útočník dosáhnout nedostupnosti služeb BIG-IP systémů zasláním websocketu směrem k virtuálnímu serveru.
Klasifikace zranitelnosti
CVSS: (AV:L/AC:M/Au:N/C:P/I:P/A:P)
Seznam postižených systémů
| Produkt | Zranitelná verze | Verze neobsahující zranitelnost | Severita | Zranitelné komponenty |
|---|---|---|---|---|
| BIG-IP LTM | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP AAM | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP AFM | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP Analytics | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP APM | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP ASM | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP DNS | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 |
Medium | websocket profile |
| BIG-IP Edge Gateway | None | --- | Not vulnerable | None |
| BIG-IP GTM | None | 11.4.0 - 11.6.1 | Not vulnerable | None |
| BIG-IP Link Controller | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP PEM | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| BIG-IP PSM | None | 11.4.0 - 11.4.1 | Not vulnerable | None |
| BIG-IP WebAccelerator | None | --- | Not vulnerable | None |
| BIG-IP WebSafe | 12.1.0 - 12.1.2 | 13.0.0 12.1.2 HF1 12.0.0 11.4.0 - 11.6.1 |
Medium | websocket profile |
| ARX | None | 6.2.0 - 6.4.0 | Not vulnerable | None |
| Enterprise Manager | None | --- | Not vulnerable | None |
| BIG-IQ Cloud | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ Device | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ Security | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ ADC | None | --- | Not vulnerable | None |
| BIG-IQ Centralized Management | None | 5.0.0 - 5.1.0 | Not vulnerable | None |
| BIG-IQ Cloud and Orchestration | None | 1.0.0 | Not vulnerable | None |
Doporučené akce
Pokud používáte zranitelnou verzi doporučujeme přejít na verzi uvedenou ve sloupci „Verze neobsahující zranitelnost“. Pokud tabulka neobsahuje novou verzi, tak neexistuje možnost odstranění pomocí upgradu.
CVE-2016-9250
V systémech F5 BIG-IP 11.2.1, 11.4.0 – 11.6.1 a 12.0.0 – 12.1.2 může neautorizovaný uživatel s přístupem do Managemant Control smazat libovolné soubory skrze zavedené mechanismy.
Klasifikace zranitelnosti
CVSS: (AV:L/AC:M/Au:N/C:P/I:P/A:P)
Dopad
Nepřihlášený uživatel s přístupem do konfiguračního rozhraní je schopen odstranit řídící soubory. K odstranění řídících souborů může dojít skrze:
- Configuration utility
- iContorl REST
- iControl SOAP
Seznam postižených systémů
| Produkt | Zranitelná verze | Verze neobsahující zranitelnost | Severita | Zranitelné komponenty |
|---|---|---|---|---|
| BIG-IP LTM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP AAM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP AFM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP Analytics | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP APM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP ASM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP DNS | 12.0.0 - 12.1.2 | 13.0.0 12.1.2 HF1 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP Edge Gateway | — | None | High | Configuration utility iControl REST iControl SOAP |
| BIG-IP GTM | 11.4.0 - 11.6.1 | 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP Link Controller | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP PEM | 12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 11.5.4 HF3 |
High | Configuration utility iControl REST iControl SOAP |
| BIG-IP PSM | 11.4.0 - 11.4.1 | None | High | Configuration utility iControl REST iControl SOAP |
| BIG-IP WebAccelerator | — | None | High | Configuration utility iControl REST iControl SOAP |
| BIG-IP WebSafe |
12.0.0 - 12.1.2 11.4.0 - 11.6.1 |
13.0.0 12.1.2 HF1 11.6.1 HF2 |
High | Configuration utility iControl REST iControl SOAP |
| ARX | None | 6.2.0 - 6.4.0 | Not vulnerable | None |
| Enterprise Manager | None | — | Not vulnerable | None |
| BIG-IQ Cloud | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ Device | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ Security | None | 4.4.0 - 4.5.0 | Not vulnerable | None |
| BIG-IQ ADC | None | — | Not vulnerable | None |
| BIG-IQ Centralized Management | None | 5.0.0 - 5.2.0 | Not vulnerable | None |
| BIG-IQ Cloud and Orchestration | None | 1.0.0 | Not vulnerable | None |
| F5 iWorkflow | None | 2.0.0 - 2.1.0 | Not vulnerable | None |
| LineRate | None | 2.5.0 - 2.6.2 | Not vulnerable | None |
| Traffix SDC | None | 5.0.0 - 5.1.0 | Not vulnerable | None |
Doporučené akce
Pokud používáte zranitelnou verzi, doporučujeme přejít na verzi uvedenou ve sloupci „Verze neobsahující zranitelnost“. Pokud tabulka neobsahuje novou verzi, tak neexistuje možnost odstranění pomocí upgradu Pro zmírnění následků doporučujeme následující postup.
Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál 