行业新闻与博客

已更新的网络安全设备公司 F5 已经警告了一系列影响其 BIG-IP 产品，包括一个漏洞的跨站点脚本这是说构成了重大风险（XSS）漏洞。

漏洞（CVE-2020-5948）意味着“ iControl REST 中未公开的端点允许反射的 XSS 攻击”。

建议进行及时分类，因为如果无法成功打补丁，则补丁失败可能会导致“如果受害者用户被授予管理员角色，则会完全损害 BIG-IP 系统”。

多个 BIG-IP 版本会受到影响。用户需要更新到分支版本
13.1.3.5，14.1.2.8，15.1.1 或 16.0.1（根据需要），如在解释咨询从 F5。

该漏洞影响 F5 的应用程序安全管理器（ASM），即 Web 应用程序防火墙；本地流量管理器（LTM），一种负载平衡产品；访问策略管理器（APM）身份验证技术；和应用程序加速管理器（AAM）；在其他产品模块中。

NVD 对该漏洞的 CVSSv3 评分为 9.6 或严重-等级 F5 争议。

F5 的一名工程代表告诉《每日新闻》：“我们不知道为什么 NVD 认为这很关键。F5 认为不是，我们将其评为 7.5 高。”

FTP 损坏

同样由 F5 发行的另一组补丁解决了文件传输协议（FTP）通道遭到拒绝服务的风险。

更具体地说，在“ BIG-IP 版本 14.0.0-14.0.1 和 13.1.0-13.1.3.4 上，发送到配置了 FTP 配置文件的虚拟服务器的某些流量模式可能导致 FTP 通道中断”。

该漏洞（CVE-2020-5949）的 CVSS 评分为 7.5（高风险）。

建议用户酌情升级到版本 13.1.3.5 或 14.1.0。

12月11日发布的最终补丁的第三组解决了内存泄漏漏洞。

此漏洞（CVE-2020-27713）仅限于 BIG-IP 版本 13.1.3.4，但对受影响的模块有很大影响。

NIST 的摘要说明：“在版本 13.1.3.4 上的某些配置中，当将 BIG-IP AFM HTTP 安全配置文件应用于虚拟服务器并且 BIG-IP 系统收到具有特定特征的请求时，将重置连接，并且流量管理微内核（TMM）会泄漏内存。”

在火线

安全行业观察家几个月来一直在关注 F5 的漏洞和利用，因为它们已成为持续的渎职行为的饲料。

2020年7月，F5 警告说 BIG-IP 流量管理用户界面（TMUI）中的远程代码执行（RCE）漏洞（CVE-2020-5902）可用于劫持易受攻击的系统。

此后，CVE-2020-5902 漏洞已成为大规模扫描以及与中国和伊朗国家支持的黑客有关的攻击的目标。