Vulnérabilité dans plusieurs produits F5
Date de publication :
CVE-2020-5873 [Score CVSS v3 : 7.2]
Une vulnérabilité a été corrigée dans les produits F5 BIG-IP et BIG-IQ. Son exploitation peut permettre à un attaquant distant et disposant des droits d'accès administrateur à l'utilitaire de copie sécurisée (scp) d’exécuter des commandes arbitraires à l'aide d'une requête scp spécifiquement conçue.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de commandes arbitraires
Criticité
-
Score CVSS v3 : 7.2
Existence d’un code d’exploitation
-
Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions de logiciel BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) suivantes sont impactées par cette vulnérabilité :
-
De 15.0.0 à 15.0.1
De 14.1.0 à 14.1.2
De 13.1.0 à 13.1.3
De 12.1.0 à 12.1.5
De 11.6.1 à 11.6.5
Les versions de logiciel BIG-IQ Centralized Management suivantes sont impactées par cette vulnérabilité :
-
De 7.0.0 à 7.1.0
De 6.0.0 à 6.1.0
De 5.3.0 à 5.4.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) vers une des versions suivantes :
15.1.0, 15.0.1.1
14.1.2.4
13.1.3.2
12.1.5.1
11.6.5.1
Mettre à jour BIQ-IQ Centralized Management vers la version 8.0.0.
Solution de contournement
Dans les cas où une mise à jour rapide des dispositifs vulnérables s’avère difficile, l’éditeur F5 recommande plusieurs mesures afin de réduire les risques liés à cette vulnérabilité.