Vulnérabilité dans plusieurs produits F5
Date de publication :
Une vulnérabilité impactant le framework Python Flask impacte plusieurs produits F5 qui utilisent cette technologie.
CVE-2018-1000656 [Score CVSS v3 : 7.5]
Une vulnérabilité au sein du framework python Flask a été corrigée. Cette faille est due à une vérification insuffisante des arguments passés en entrée par l’utilisateur. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service de l’application utilisant Flask en fournissant des données JSON avec un encodage spécifique.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Déni de service
Criticité
-
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
-
Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Flask :
-
0.12.3
BIG-IQ Centralized Management :
-
8.0.0
De 7.0.0 à 7.1.0
De 6.0.1 à 6.1.0
F5OS :
-
De 1.1.0 à 1.1.2
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Aucun correctif de sécurité n’est disponible publiquement à l’heure actuelle.
Solution de contournement
- Pour BIG-IQ Centralized Management, il est recommandé de durcir l’accès au logiciel. Plusieurs guides de l’éditeur F5 sur le sujet sont disponibles en référence de ce bulletin.
- Concernant F5OS