Múltiples vulnerabilidades en BIG-IP de F5

Fecha de publicación 11/04/2019
Importancia
4 - Alta
Recursos Afectados
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator), versiones:
    • 14.0.0 - 14.1.0.1
    • 13.0.0 - 13.1.1.3
    • 12.10 - 12.1.4
    • 11.6.1 - 11.6.3
    • 11.5.1 - 11.5.8
Descripción

F5 ha publicado múltiples vulnerabilidades del tipo XSS, denegación de servicio y almacenamiento inseguro de claves.

Solución
  • Actualizar a las siguientes versiones:
    • 14.1.0.2
    • 13.1.1.4
    • 12.1.4.1
    • 11.6.4
    • 11.5.9
Detalle
  • Los atributos tooltip y popover data-template en Bootstrap permiten ataques XSS. Se ha asignado el identificador CVE-2019-8331 para esta vulnerabilidad de severidad alta.
  • El sistema BIG-IP es vulnerable a un ataque de denegación de servicio (DoS) cuando se realiza la clasificación de URL utilizando el módulo APM. Se ha reservado el identificador CVE-2019-6610 para esta vulnerabilidad de severidad alta.
  • En las plataformas iSeries, el atributo secureKeyCapable no está establecido, lo que hace que la función Secure Vault no utilice la compatibilidad con el hardware F5 para almacenar la clave de la unidad. Como resultado, la clave de la unidad se almacena en texto plano. Se ha reservado el identificador CVE-2019-6609 para esta vulnerabilidad de severidad media.

Encuesta valoración

Listado de referencias
K24383845: Bootstrap vulnerability CVE-2019-8331
K42465020: BIG-IP APM URL classification vulnerability CVE-2019-6610
K18535734: BIG-IP Secure Vault vulnerability CVE-2019-6609
Etiquetas