Vulnérabilités dans les produits F5
Date de publication :
De multiples vulnérabilités ont été découvertes dans BIG-IP et BIG-IQ, logiciels distribués par F5. Un attaquant distant peut exécuter des requêtes SQL arbitraires, ainsi que causer un déni de service.
CVE-2018-16850 [Score CVSS v3 : 9.8] : Une vulnérabilité de type injection SQL a été découverte dans les versions de PostgreSQL utilisées par BIG-IQ Centralized Management. Un attaquant distant disposant d’un faible niveau de privilèges peut exécuter des requêtes SQL arbitraires (avec le niveau de privilèges le plus haut) via une définition de “trigger” spécialement conçue.
CVE-2020-5872 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans le pilote cryptographique utilisé par BIG-IP. Un attaquant distant non-authentifié peut provoquer le plantage du noyau de gestion du trafic via l’envoi de paquets TLS spécialement conçus.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de requêtes SQL arbitraires
- Déni de service
Criticité
- Score CVSS v3 : 9.8 maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- CVE-2018-16850 : BIG-IQ Centralized Management version 7.1.0
-
CVE-2020-5872 :
- BIG-IP version 14 avant la version 14.1.2.4 ou 14.0.1.1 selon le numéro de version intermédiaire
- BIG-IP version 13 avant la version 13.1.3.2
- BIG-IP version 12 avant la version 12.1.5
CVE
- CVE-2018-16850
- CVE-2020-5872
Solutions ou recommandations
Mise en place de correctifs de sécurité
CVE-2018-16850 : aucun correctif proposé par F5
CVE-2020-5872 : mettre à jour BIG-IP vers une version non-vulnérable (voir la section “Composants vulnérables”)
Solution de contournement
Aucune solution de contournement n’est disponible