漏洞背景
2023年10月19日,嘉诚安全监测到F5 BIG-IP中存在目录遍历漏洞,漏洞编号为:CNNVD-202310-703(CVE-2023-41373)。
F5公司是全球范围内应用交付网络(ADN)领域的知名厂商。BIG-IP是F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞,存在于BIG-IP配置实用程序(Configuration utility)中,由于在文件操作中使用用户提供的路径之前未对其进行正确验证,经过身份验证的攻击者可以通过向BIG-IP配置实用程序发送恶意设计的请求来利用该漏洞,成功利用可能在BIG-IP系统上执行命令。对于运行Appliance模式的BIG-IP系统,成功利用该漏洞可能绕过Appliance模式限制。
危害影响
标准部署和Appliance模式下的BIG-IP(所有模块):
17.x:17.1.0
16.x:16.1.0 - 16.1.4
15.x:15.1.0 - 15.1.10
14.x:14.1.0 - 14.1.5
13.x:13.1.0 - 13.1.5
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本:
17.x:17.1.0.3
16.x:16.1.4.1
15.x:15.1.10.2
14.x:14.1.5.6
13.x:无
下载链接请参考:
https://my.f5.com/
原文始发于微信公众号(嘉诚安全):【漏洞通告】F5 BIG-IP目录遍历漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论