Une vulnérabilité d’exécution de code à distance identifiée dans BigIP

Une vulnérabilité (CVE-2019-13135) sur le composant ImageMagick utilisé par BigIP a été identifiée.

Cette vulnérabilité est liée à l'absence d’initialisation de variable dans la fonction « ReadCUTImage » (coders/cut.c) pouvant entrainer une exécution de code à distance.

BigIP est un produit de la société F5 Network qui permettait à l’origine de répartir la charge entre plusieurs serveurs (load-balancer) mais qui s’est vu doter ces dernières années de fonctionnalités de sécurité plus avancées (pare-feu applicatif, mécanisme de contrôle d’accès, etc.).

Informations
+

Risques

  • Exécution de code à distance

Criticité

  • Score CVSS : 7.5

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Les versions vulnérables de BigIP sont : 11.5.0, 11.5.0 HF1, 11.5.0 HF2, 11.5.0 HF3, 11.5.0 HF4, 11.5.0 HF5, 11.5.0 HF6, 11.5.0 HF7, 11.5.1, 11.5.1 HF1, 11.5.1 HF2, 11.5.1 HF3, 11.5.1 HF4, 11.5.1 HF5, 11.5.1 HF6, 11.5.1 HF7, 11.5.1 HF8, 11.5.1 HF9, 11.5.1 HF10, 11.5.1 HF11, 11.5.2, 11.5.2 HF1, 11.5.3, 11.5.3 HF1, 11.5.3 HF2, 11.5.4, 11.5.4 HF1, 11.5.4 HF2, 11.5.5, 11.5.6, 11.5.7, 11.5.8, 11.5.9, 11.6.0, 11.6.0 HF1, 11.6.0 HF2, 11.6.0 HF3, 11.6.0 HF4, 11.6.0 HF5, 11.6.0 HF6, 11.6.0 HF7, 11.6.0 HF8, 11.6.1, 11.6.1 HF1, 11.6.2, 11.6.3, 11.6.3.1, 11.6.3.2, 11.6.4, 11.6.5, 12.0.0, 12.0.0 HF1, 12.0.0 HF2, 12.0.0 HF3, 12.0.0 HF4, 12.1.0, 12.1.0 HF1, 12.1.0 HF2, 12.1.1, 12.1.1 HF1, 12.1.1 HF2, 12.1.2, 12.1.2 HF1, 12.1.3, 12.1.3.0, 12.1.3.1, 12.1.3.2, 12.1.3.7, 12.1.4, 12.1.5, 13.0.0, 13.0.0 HF1, 13.0.1, 13.1.0, 13.1.0.4, 13.1.1, 13.1.1.2, 13.1.3, 14.0.0, 14.0.0.3, 14.0.1, 14.1.0, 14.1.2, 15.0.0, 15.0.1

CVE


Recommandations
+

Mise en place de correctif de sécurité

  • BIG-IP a publié des patchs de sécurité qui doivent être appliqués.

Solution de contournement

Aucune solution de contournement n’a été identifiée en dehors de la mise à jour