Vulnérabilités dans BIG-IP
Date de publication :
Des vulnérabilités ont été découvertes dans BIG-IP, logiciel distribué par F5. Elles peuvent permettre à un attaquant de provoquer une réécriture arbitraire de fichiers ou une attaque de type “homme du milieu”.
CVE-2020-5912 [Score CVSS v3 : 7.1] : Une vulnérabilité a été découverte dans le service “restjavad” de BIG-IP. Le codage de la commande “process dump” ne suit pas les meilleures pratiques actuelles et peut permettre à un attaquant de provoquer une réécriture arbitraire de fichiers.
CVE-2020-5913 [Score CVSS v3 : 7.4] : Une vulnérabilité a été découverte dans le serveur SSL de Big-IP. Celui-ci ignore les certificats révoqués, même lorsqu’une liste de certificats révoqués (CRL) valide est présente. Un attaquant peut exploiter cette vulnérabilité afin d’effectuer une attaque de type “homme du milieu” et ainsi porter atteinte à la confidentialité et à l’intégrité des données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Réécriture arbitraire de fichiers
- Atteinte à la confidentialité et intégrité des données
Criticité
- Score CVSS v3 : 7.1 et 7.4
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
-
Pour la CVE-2020-5912 :
- BIG-IP versions 15.1.0 et 15.0.0 - 15.0.1
- BIG-IP versions 14.1.0 - 14.1.2
- BIG-IP versions 13.1.0 - 13.1.3
- BIG-IP versions 12.1.0 - 12.1.5
- BIG-IP versions 11.6.1 - 11.6.5
-
Pour la CVE-2020-5913 :
- BIG-IP versions 15.0.0 - 15.1.0
- BIG-IP versions 14.1.0 - 14.1.2
- BIG-IP versions 12.1.0 - 12.1.5
CVE
- CVE-2020-5912
- CVE-2020-5913
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour BIG-IP vers une version non vulnérable (voir bulletins de sécurité F5 dans la section Références)
Solution de contournement
Aucune solution de contournement