F5 Networks BIG-IP：BIG-IP ASM 和 BIG-IQ/Enterprise Manager/F5 iWorkflow 裝置驗證與信任弱點 (K26462555)

critical Nessus Plugin ID 132561

語系：

概要

遠端裝置缺少廠商提供的安全性修補程式。

說明

若攻擊者可存取 BIG-IP ASM Central Policy Builder 與 BIG-IQ/Enterprise Manager/F5 iWorkflow 之間的裝置通訊，則其將可透過相同方式設定代理伺服器並攔截流量。(CVE-2019-6665)

影響

BIG-IP ASM / BIG-IQ / Enterprise Manager / F5 iWorkflow

攻擊者可透過存取驗證權杖來假冒 BIG-IP ASM Central Policy Builder，並將損毀或錯誤的建議資料傳送至 BIG-IQ/Enterprise Manager/F5 iWorkflow。這可能導致不正確的原則建置建議或部分拒絕服務 (DoS)。

BIG-IP (LTM、AAM、AFM、Analytics、APM、DNS、Edge Gateway、GTM、Link Controller、PEM、WebAccelerator、WebSafe) / Traffix SDC

沒有影響；上述 F5 產品不受此弱點影響。

解決方案

升級至列於 F5 解決方案 K26462555 中的其中一個無弱點版本。

另請參閱

https://my.f5.com/manage/s/article/K26462555

Plugin 詳細資訊

嚴重性: Critical

ID: 132561

檔案名稱: f5_bigip_SOL26462555.nasl

版本: 1.3

類型: local

系列: F5 Networks Local Security Checks

已發布: 2019/12/31

已更新: 2023/11/3

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.5

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2019-6665

CVSS v3

風險因素: Critical

基本分數: 9.4

時間分數: 8.2

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:f5:big-ip_application_security_manager, cpe:/h:f5:big-ip

必要的 KB 項目: Host/local_checks_enabled, Settings/ParanoidReport, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/11/26

弱點發布日期: 2019/11/27

參考資訊

CVE: CVE-2019-6665