Vulnérabilités dans les produits F5

De multiples vulnérabilités ont été découvertes dans BIG-IP et BIG-IQ, logiciels distribués par F5. Un attaquant distant peut exécuter des requêtes SQL arbitraires, ainsi que causer un déni de service.

CVE-2018-16850 [Score CVSS v3 : 9.8] : Une vulnérabilité de type injection SQL a été découverte dans les versions de PostgreSQL utilisées par BIG-IQ Centralized Management. Un attaquant distant disposant d’un faible niveau de privilèges peut exécuter des requêtes SQL arbitraires (avec le niveau de privilèges le plus haut) via une définition de “trigger” spécialement conçue.

CVE-2020-5872 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans le pilote cryptographique utilisé par BIG-IP. Un attaquant distant non-authentifié peut provoquer le plantage du noyau de gestion du trafic via l’envoi de paquets TLS spécialement conçus.

Informations
+

Risques

  • Exécution de requêtes SQL arbitraires

  • Déni de service

Criticité

  • Score CVSS v3 : 9.8 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • CVE-2018-16850 : BIG-IQ Centralized Management version 7.1.0

  • CVE-2020-5872 : 

    • BIG-IP version 14 avant la version 14.1.2.4 ou 14.0.1.1 selon le numéro de version intermédiaire

    • BIG-IP version 13 avant la version 13.1.3.2

    • BIG-IP version 12 avant la version 12.1.5

CVE

  • CVE-2018-16850

  • CVE-2020-5872


Recommandations
+

Mise en place de correctifs de sécurité

  • CVE-2018-16850 : aucun correctif proposé par F5

  • CVE-2020-5872 : mettre à jour BIG-IP vers une version non-vulnérable (voir la section “Composants vulnérables”)

Solution de contournement

  • Aucune solution de contournement n’est disponible