F5 BIG-IP SSL szöveges üzenet adat szivárgás sérülékenysége


2017. november 20. 13:21

CH azonosító

CH-14299

Angol cím

F5 BIG-IP SSL Plaintext Message Recovery Information Disclosure Vulnerability

Felfedezés dátuma

2017.11.16.

Súlyosság

Kritikus

Érintett rendszerek

BIG-IP
F5 Networks

Érintett verziók

F5 Networks, Inc.

BIG-IP AAM 11.6 (.0, .0 HF5, .0H6, .0H7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP AFM 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP Analytics 11.6 (.0, .0 HF5, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP APM 11.6 (.0, .0 HF5, .0 HF6, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP ASM (Application Security Manager) 11.6 (.0, .0 HF5, .0 HF6, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP DNS 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .1, .2, .2 HF1) | 13.0 (.0)

BIG-IP GTM (Global Traffic Manager) 11.6 (.0, .0 HF5, .1, .1 HF1, .2)

BIG-IP Link Controller 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP LTM (Local Traffic Manager) 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF2, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP PEM 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP WebSafe 11.6 (.2) | 12.0 (.0, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

Összefoglaló

Az F5 BIG-IP kritikus kockázati besorolású sérülékenysége vált ismertté, amely egy nem hitelesített, távoli támadó számára érzékeny információkhoz való hozzáférést tehet lehetővé.

Leírás

A sérülékenység az érintett szoftver elégtelen biztonsági korlátozásainak köszönhető, amely az RSA ellen indított Adaptive Selected Ciphertext támadással válik kihasználhatóvá. Ha a virtuális kiszolgáló egy ügyfél SSL-profiljával van konfigurálva, akkor a támadó egyszerű szöveges formában is megtekintheti a titkosított adatokat.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: tools.cisco.com
CVE-2017-6168 - NVD CVE-2017-6168

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
Tovább a sérülékenységekhez »