F5 Networks BIG-IP:透過 TLS 1.2 通訊協定發生的 CRIME 弱點 (SOL14054)

low Nessus Plugin ID 78139

Synopsis

遠端裝置缺少供應商提供的安全性修補程式。

描述

TLS 通訊協定 1.2 及其之前版本在用於 Mozilla Firefox、Google Chrome 及其他產品時,可加密壓縮的資料,無需正確模糊化未加密資料的長度。這會允許攔截式攻擊者在一連串猜測中觀察長度差異 (HTTP 要求中的字串可能與 HTTP 標頭中的未知字串相符),藉此取得純文字 HTTP 標頭;這也稱為 CRIME 攻擊。

解決方案

升級至列於 F5 解決方案 SOL14054 中的其中一個無弱點版本。

另請參閱

https://support.f5.com/csp/article/K14054

Plugin 詳細資訊

嚴重性: Low

ID: 78139

檔案名稱: f5_bigip_SOL14054.nasl

版本: 1.9

類型: local

已發布: 2014/10/10

已更新: 2021/3/10

風險資訊

VPR

風險因素: Medium

分數: 4.9

CVSS v2

風險因素: Low

基本分數: 2.6

時間分數: 2.3

媒介: AV:N/AC:H/Au:N/C:P/I:N/A:N

時間媒介: E:ND/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_link_controller, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_wan_optimization_manager, cpe:/a:f5:big-ip_webaccelerator, cpe:/h:f5:big-ip, cpe:/h:f5:big-ip_protocol_security_manager

必要的 KB 項目: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/12/5

弱點發布日期: 2012/9/15

參考資訊

CVE: CVE-2012-4929

BID: 55704