F5 BIG-IP SSL szöveges üzenet adat szivárgás sérülékenysége


2017. november 20. 13:21

CH azonosító

CH-14299

Angol cím

F5 BIG-IP SSL Plaintext Message Recovery Information Disclosure Vulnerability

Felfedezés dátuma

2017.11.16.

Súlyosság

Kritikus

Érintett rendszerek

BIG-IP
F5 Networks

Érintett verziók

F5 Networks, Inc.

BIG-IP AAM 11.6 (.0, .0 HF5, .0H6, .0H7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP AFM 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP Analytics 11.6 (.0, .0 HF5, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP APM 11.6 (.0, .0 HF5, .0 HF6, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP ASM (Application Security Manager) 11.6 (.0, .0 HF5, .0 HF6, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP DNS 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .1, .2, .2 HF1) | 13.0 (.0)

BIG-IP GTM (Global Traffic Manager) 11.6 (.0, .0 HF5, .1, .1 HF1, .2)

BIG-IP Link Controller 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP LTM (Local Traffic Manager) 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1, .2) | 12.0 (.0, .0 HF1, .0 HF2, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP PEM 11.6 (.0, .0 HF5, .0 HF7, .1, .1 HF1) | 12.0 (.0, .0 HF1, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

BIG-IP WebSafe 11.6 (.2) | 12.0 (.0, .0 HF3, .0 HF4) | 12.1 (.0, .0 HF1, .1, .2, .2 HF1) | 13.0 (Base, .0)

Összefoglaló

Az F5 BIG-IP kritikus kockázati besorolású sérülékenysége vált ismertté, amely egy nem hitelesített, távoli támadó számára érzékeny információkhoz való hozzáférést tehet lehetővé.

Leírás

A sérülékenység az érintett szoftver elégtelen biztonsági korlátozásainak köszönhető, amely az RSA ellen indított Adaptive Selected Ciphertext támadással válik kihasználhatóvá. Ha a virtuális kiszolgáló egy ügyfél SSL-profiljával van konfigurálva, akkor a támadó egyszerű szöveges formában is megtekintheti a titkosított adatokat.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: tools.cisco.com
CVE-2017-6168 - NVD CVE-2017-6168

Legfrissebb sérülékenységek
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
CVE-2026-20700 – Apple Multiple Buffer Overflow sebezhetőség
CVE-2026-21514 – Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision sérülékenység
CVE-2026-21519 – Microsoft Windows Type Confusion sérülékenység
CVE-2026-21533 – Microsoft Windows Improper Privilege Management sérülékenység
CVE-2026-21510 – Microsoft Windows Shell Protection Mechanism Failure sérülékenység
CVE-2026-21525 – Microsoft Windows NULL Pointer Dereference sérülékenység
CVE-2026-21513 – Microsoft MSHTML Framework Protection Mechanism Failure sérülékenység
Tovább a sérülékenységekhez »