RU
16.12.2017

TLS: dezvăluirea informațiilor prin intermediul atacului ROBOT în F5 BIG-IP, CITRIX, RADWARE, CISCO, Erlang

Un atacator  ar putea să obțină acces la informații sensibile prin intermediul vulnerabilităţii în F5 BIG-IP şi alte echipamente.

Vulnerabilitatea e cauzată de restricțiile insuficiente de securitate impuse de software-ul afectat. Un atacator ar putea să exploateze această vulnerabilitate prin efectuarea unui atac adaptiv cu selectarea textului criptat împotriva algoritmului RSA. Dacă serverul virtual este configurat cu un profil client SSL, atacatorul ar putea să vizualizeze informații criptate în format plaintext.

F5 Networks a confirmat vulnerabilitatea și a lansat actualizările de software.
Pentru a exploata această vulnerabilitate, atacatorul are nevoie să acceseze rețelele interne pentru a trimite intrări artizanale către sistemul vizat. Această cerință de acces ar putea reduce probabilitatea exploatării reușite.
Orange Moldova CERT recomandă să faceți upgrade la o versiune actualizată a software-ului
 sau să configurați serverul TLS să nu utilizeze suită de cifre RSA vulnerabile.

Mai jos găsiţi informaţia cu versiunile de soft vulnerabile


F5 Big-IP

BIG-IP GTM 11.6.0 – 11.6.2

BIG-IP LTM/AAM, AFM, APM, ASM, LC, PEM, WebSafe 11.6.0 – 11.6.2, 12.0.0 – 12.1.2, 13.0.0

BIG-IP DNS 12.0.0 – 12.1.2, 13.0.0

CITRIX

NetScaler Application Delivery Controller (ADC) 10.5 NetScaler Gateway 10.5

CISCO

Cisco ACE 470 Application Control Engine

Cisco ACE30 Application Control Engine Module

Cisco ASA 5505, 5510, 5520, 5540, 5550

ASA 7.0.0.*->7.0.8.*, 7.1.0.*->7.1.2.*, 7.2.0.*->7.2.5.*, 8.0.0.*->8.0.5.*, 8.1.0.*->8.1.2.*, 8.2.0.*->8.2.5.*, 8.3.0.*->8.3.2.*, 8.4.0.*->8.4.7.*, 8.5.0.*->8.5.1.*, 8.6.0.*->8.6.1.*, 8.7.0.*->8.7.1.*, 9.0.0.*->9.0.4.*, 9.1.0.*->9.1.7.*, 9.2.0.*->9.2.4.*, 9.3.0.*->9.3.5.*, 9.4.0.*->9.4.4.*, 9.5.0.*->9.5.3.*, 9.6.0.*->9.6.3.*, 9.7.0.*, 9.8.0.*

PIX 3.0, 4.0 -> 4.0.4, 5.0 -> 5.0.3, 6.0.0 -> 6.0.4, 6.1.0 -> 6.1.5, 6.2.0 -> 6.2.4, 6.3.0 -> 6.3.5

Erlang

OTP 18.3.4.7

OTP 19.3.6.4

OTP 20.1.7

Oracle

Java 1.4.0 RTM, 1.4.0_01->_04, 1.4.1 RTM, 1.4.1_01->_04, 1.4.2 RTM, 1.4.2_01->_39, 5.0 RTM->5.0 Update 37, 6.0 RTM->6.0 Update 36, 7 RTM->7 Update 8


 


Buletin informativ

Primeşte ştiri de top direct pe email