Злоумышленник может получить доступ к конфиденциальной информации с помощью уязвимости в F5 BIG-IP и другом оборудовании.
Уязвимость вызвана недостаточными ограничениями безопасности, налагаемыми затронутым программным обеспечением. Злоумышленник может использовать эту уязвимость, выполняя адаптивную атаку с выбором зашифрованного текста по алгоритму RSA. Если виртуальный сервер настроен профилем клиента SSL, злоумышленник может просматривать зашифрованную информацию в формате открытого текста.
F5 Networks подтвердила уязвимость и выпустила обновления программного обеспечения.
Чтобы использовать эту уязвимость, злоумышленнику необходимо получить доступ к внутренним сетям для отправки обработанных записей в целевую систему. Это требование доступа может снизить вероятность успешной эксплуатации.
Orange Moldova CERT рекомендует обновить версию программного обеспечения или настроить сервер TLS, чтобы не использовать уязвимый набор номеров RSA.
Ниже приведена информация с уязвимыми версиями программного обеспечения
F5 Big-IP | BIG-IP GTM 11.6.0 – 11.6.2 BIG-IP LTM/AAM, AFM, APM, ASM, LC, PEM, WebSafe 11.6.0 – 11.6.2, 12.0.0 – 12.1.2, 13.0.0 BIG-IP DNS 12.0.0 – 12.1.2, 13.0.0 |
CITRIX | NetScaler Application Delivery Controller (ADC) 10.5 NetScaler Gateway 10.5 |
CISCO | Cisco ACE 470 Application Control Engine Cisco ACE30 Application Control Engine Module Cisco ASA 5505, 5510, 5520, 5540, 5550 ASA 7.0.0.*->7.0.8.*, 7.1.0.*->7.1.2.*, 7.2.0.*->7.2.5.*, 8.0.0.*->8.0.5.*, 8.1.0.*->8.1.2.*, 8.2.0.*->8.2.5.*, 8.3.0.*->8.3.2.*, 8.4.0.*->8.4.7.*, 8.5.0.*->8.5.1.*, 8.6.0.*->8.6.1.*, 8.7.0.*->8.7.1.*, 9.0.0.*->9.0.4.*, 9.1.0.*->9.1.7.*, 9.2.0.*->9.2.4.*, 9.3.0.*->9.3.5.*, 9.4.0.*->9.4.4.*, 9.5.0.*->9.5.3.*, 9.6.0.*->9.6.3.*, 9.7.0.*, 9.8.0.* PIX 3.0, 4.0 -> 4.0.4, 5.0 -> 5.0.3, 6.0.0 -> 6.0.4, 6.1.0 -> 6.1.5, 6.2.0 -> 6.2.4, 6.3.0 -> 6.3.5 |
Erlang | OTP 18.3.4.7 OTP 19.3.6.4 OTP 20.1.7 |
Oracle | Java 1.4.0 RTM, 1.4.0_01->_04, 1.4.1 RTM, 1.4.1_01->_04, 1.4.2 RTM, 1.4.2_01->_39, 5.0 RTM->5.0 Update 37, 6.0 RTM->6.0 Update 36, 7 RTM->7 Update 8 |