Vulnérabilités dans BIG-IP
Date de publication :
Des vulnérabilités ont été découvertes dans BIG-IP, logiciel distribué par F5. Elles peuvent permettre à un attaquant de provoquer une réécriture arbitraire de fichiers ou une attaque de type “homme du milieu”.
CVE-2020-5912 [Score CVSS v3 : 7.1] : Une vulnérabilité a été découverte dans le service “restjavad” de BIG-IP. Le codage de la commande “process dump” ne suit pas les meilleures pratiques actuelles et peut permettre à un attaquant de provoquer une réécriture arbitraire de fichiers.
CVE-2020-5913 [Score CVSS v3 : 7.4] : Une vulnérabilité a été découverte dans le serveur SSL de Big-IP. Celui-ci ignore les certificats révoqués, même lorsqu’une liste de certificats révoqués (CRL) valide est présente. Un attaquant peut exploiter cette vulnérabilité afin d’effectuer une attaque de type “homme du milieu” et ainsi porter atteinte à la confidentialité et à l’intégrité des données.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Réécriture arbitraire de fichiers
Atteinte à la confidentialité et intégrité des données
Criticité
Score CVSS v3 : 7.1 et 7.4
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
Pour la CVE-2020-5912 :
BIG-IP versions 15.1.0 et 15.0.0 - 15.0.1
BIG-IP versions 14.1.0 - 14.1.2
BIG-IP versions 13.1.0 - 13.1.3
BIG-IP versions 12.1.0 - 12.1.5
BIG-IP versions 11.6.1 - 11.6.5
Pour la CVE-2020-5913 :
BIG-IP versions 15.0.0 - 15.1.0
BIG-IP versions 14.1.0 - 14.1.2
BIG-IP versions 12.1.0 - 12.1.5
CVE
CVE-2020-5912
CVE-2020-5913
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour BIG-IP vers une version non vulnérable (voir bulletins de sécurité F5 dans la section Références)
Solution de contournement
Aucune solution de contournement