Vulnérabilité dans plusieurs produits F5
Date de publication :
Une vulnérabilité impactant le framework Python Flask impacte plusieurs produits F5 qui utilisent cette technologie.
CVE-2018-1000656 [Score CVSS v3 : 7.5]
Une vulnérabilité au sein du framework python Flask a été corrigée. Cette faille est due à une vérification insuffisante des arguments passés en entrée par l’utilisateur. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service de l’application utilisant Flask en fournissant des données JSON avec un encodage spécifique.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Flask :
- 0.12.3
BIG-IQ Centralized Management :
- 8.0.0
- De 7.0.0 à 7.1.0
- De 6.0.1 à 6.1.0
F5OS :
- De 1.1.0 à 1.1.2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Aucun correctif de sécurité n’est disponible publiquement à l’heure actuelle.
Solution de contournement
- Pour BIG-IQ Centralized Management, il est recommandé de durcir l’accès au logiciel. Plusieurs guides de l’éditeur F5 sur le sujet sont disponibles en référence de ce bulletin.
- Concernant F5OS