F5 網路 BIG-IP:BIG-IP Secure Vault 弱點 (K18535734)
critical Nessus Plugin ID 123977
語言:
概要
遠端裝置缺少供應商提供的安全性修補程式。說明
此弱點只影響 iSeries 平台。在這些平台上,secureKeyCapable 屬性並未設定,因而造成 Secure Vault 功能不使用 F5 硬體支援來儲存單元金鑰。單元金鑰反而會以純文字形式儲存在磁碟上,Z100 系統即是如此。此外,此問題還會造成單元金鑰被儲存在取自這些平台的 UCS 檔案中。(CVE-2019-6609) 影響 BIG-IP BIG-IP iSeries 平台上的單元金鑰以純文字形式儲存。因此,BIG-IP iSeries 平台上的單元金鑰和主金鑰的機密性可能有所減損。所有其他 BIG-IP 平台不受此弱點影響。Enterprise Manager、BIG-IQ Centralized Management、F5 iWorkflow、Traffix SDC 沒有影響;這些 F5 產品不受此弱點影響。解決方案
升級至列於 F5 解決方案 K18535734 中的其中一個無弱點版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 123977
檔案名稱: f5_bigip_SOL18535734.nasl
版本: 1.7
類型: local
已發布: 2019/4/11
已更新: 2023/11/3
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2019-6609
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:f5:big-ip_link_controller, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_domain_name_system, cpe:/a:f5:big-ip_policy_enforcement_manager, cpe:/h:f5:big-ip, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_application_acceleration_manager, cpe:/a:f5:big-ip_webaccelerator
必要的 KB 項目: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2019/4/10
弱點發布日期: 2019/4/15
參考資訊
CVE: CVE-2019-6609