F5 работает над исправлением ошибки BIG-IP API

358

F5 Networks работает над исправлением ошибки, которая подвергает реализации BIG-IP отказу в обслуживании и возможному выполнению системных команд.

В ветках программного обеспечения BIG-IP с 13 по 17 есть уязвимые версии.

Ошибка означает, что злоумышленник, обладающий знаниями о целевой среде, может завершить процесс iControl SOAP.

iControl SOAP — это API, который позволяет внешнему программному обеспечению взаимодействовать с базовой сетью.

Если злоумышленник имеет сетевой доступ к процессу через порт управления BIG-IP и/или «собственный IP-адрес» (доступ к устройству через VLAN), он может привести к сбою процесса.

По словам F5, если модуль BIG-IP работает в режиме устройства, успешный эксплойт позволяет злоумышленнику пересечь границу безопасности.

консультативный подчеркивал, однако, что «отсутствует воздействие плоскости данных. Это проблема только плоскости управления».

Rapid7, который обнаружил уязвимостьсказал, что это уязвимость строки формата.

«Вставляя спецификаторы строки формата (например, %s или %n) в определенные параметры GET, злоумышленник может заставить службу считывать и записывать адреса памяти, на которые ссылаются из стека», — пишет Rapid7.

Ошибка оценивается как высокая серьезность (оценка CVCSS 7,5 или 8,5 в режиме устройства), а не как критическая, поскольку ею может воспользоваться только аутентифицированный злоумышленник.

Читать полную новость на сайте