Vulnérabilités dans des produits F5
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans des produits F5. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire ou un déni de service.
CVE-2020-5939 [Score CVSS v3 : 7.5] : Une vulnérabilité pouvant conduire à un déni de service a été découverte dans le composant TMM (Traffic Management Microkernel) de BIG-IP Virtual Edition.
CVE-2020-5940 [Score CVSS v3 : 8.0] : Une vulnérabilité de type “stored XSS” a été découverte dans BIG-IP TMUI. Un attaquant authentifié peut provoquer une exécution de code arbitraire en sauvegardant du JavaScript malveillant.
CVE-2020-5941 [Score CVSS v3 : 7.5] : Une vulnérabilité pouvant conduire à un déni de service a été découverte dans BIG-IP. En utilisant la commande RESOLV::lookup dans iRule, le composant TMM peut redémarrer de façon inopinée.
CVE-2020-5942 [Score CVSS v3 : 7.5] : Une vulnérabilité pouvant conduire à un déni de service a été découverte dans le composant TMM de BIG-IP. Lors du traitement de paquets CEA (Capabilities-Exchange-Answer) avec certains attributs, TMM peut redémarrer de façon inopinée.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Scores CVSS v3 : 8.0 et 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
- Les versions vulnérables de BIG-IP sont disponibles dans les bulletins cités dans la partie Références
CVE
- CVE-2020-5939
- CVE-2020-5940
- CVE-2020-5941
- CVE-2020-5942
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour BIG-IP vers une version non vulnérable
Solution de contournement
Des solutions de mitigations sont disponibles dans les bulletins cités dans la partie Références