F5 BIG-IP távoli kódfuttatásos sérülékenység

CH azonosító: CH-14933
Cím: F5 BIG-IP távoli kódfuttatásos sérülékenység
Angol cím: F5 BIG-IP RCE vulnerability

Publikálás dátuma: 2020.07.07.
Utolsó módosítás dátuma: 2020.07.07.


Leírás

A CVE-2020-5902 számon az F5 Networks BIG-IP szolgáltatásait érintő – kritikus kockázati besorolású – sérülékenység vált ismertté, amelyet kihasználva a távoli, jogosultsággal nem rendelkező támadó tetszőleges kódfuttatási jogosultságot szerezhet, leállíthat egyes szolgáltatásokat, törölhet, illetve létrehozhat fájlokat.


Leírás forrása: Gyártói referencia: support.f5.com
Leírás utolsó módosítása: 2020.07.07.


Elemzés leírás

Az F5 Networks BIG-IP termékcsalád szoftveres és hardveres  biztonsági megoldásokat és hozzáférés vezérlést kínál nagy felhasználók számára. A most ismertetett sérülékenység hozzáférést biztosít a konfigurációs segédprogramhoz, így a távoli, jogosultsággal nem rendelkező támadó tetszőleges kódfuttatási jogosultságot szerezhet, leállíthat egyes szolgáltatásokat, törölhet, illetve létrehozhat fájlokat.

Érintett szoftverek:

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 15.0.0 és 15.1.0
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.0 és 14.1.2 közötti verziók
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.0 és 13.1.3 közötti verziók
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.0 és 12.1.5 közötti verziók
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.1 és 11.6.5 közötti verziók

A gyártó honlapján közzétette a hiba javítást tartalmazó frissítéseket.


Elemzés leírás forrása: Gyártói referencia: support.f5.com
Elemzés leírás utolsó módosítása: 2020.07.07.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Gyártói referencia: support.f5.com
Egyéb referencia: www.helpnetsecurity.com
Egyéb referencia: www.tenable.com
Egyéb referencia: badpackets.net
Egyéb referencia: www.jpcert.or.jp
CVE-2020-5902 - NVD CVE-2020-5902