Défauts dans F5 BIG-IP

Des défauts ont été découverts dans le système de pare-feu BIG-IP de F5. Lorsque de multiples conditions sont réunies, les différences d’interprétation des requêtes HTTP peuvent mener à des comportements inattendus de l’outil. Aucun bulletin de vulnérabilité (par exemple: CVE) lié à ce problème n’a cependant été émis.

Défaut d’interprétation HTTP : Lorsque le système BIG-IP est configuré pour associer un profil HTTP à un serveur virtuel, des défauts d’interprétation des en-têtes HTTP par les règles iRule ou LTM peuvent permettre à un attaquant distant de contourner des politiques de sécurité mises en place, via l’envoi de requêtes spécialement conçues à cette fin. 

Un exemple de ces défauts peut être illustré par une requête “GET /file.txt foo/file2.txt HTTP/1.1”: le système BIG-IP ignore alors la valeur “foo/file2.txt” mais retransmet cependant la requête telle-quelle au serveur sous-jacent.

Informations
+

Risques

  • Contournement de politiques de sécurité

Criticité

  • Aucun score de criticité associé

Existence d’un code d’exploitation

Composants vulnérables

  • F5 BIG-IP

CVE

  • Aucune CVE associée


Recommandations
+

Mise en place de correctifs de sécurité

  • Aucun correctif de sécurité n’est disponible, des actions sont cependant recommandées par F5 (voir “Solution de contournement”)

Solution de contournement

  • Pour BIP-IP version supérieure à 15.1.0: Une case à cocher “Enforce RFC Compliance” est disponible sur la page de configuration des profils HTTP. Lorsque cochée, les requêtes ne respectant pas les standards RFC ne sont pas acceptées, empêchant ainsi les problèmes exposés de survenir

  • Pour les autres versions de BIG-IP 15 ou 14, cette case à cocher n’est pas présente, la commande suivante doit alors être utilisée afin d’activer la fonctionnalité via la base de données de configuration: “tmsh modify sys db tmm.http.rfc.enforcement value enable”