首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-5902 | F5 BIG-IP远程代码执行误差通告

宣布时间 2020-07-03

0x00 误差概述

CVE ID	CVE-2020-5902	时间	2020-07-03
类型	RCE	等级	严重
远程使用	是	影响规模	F5 BIG-IP15.1.0、15.0.0、14.1.0-14.1.2、13.1.0-13.1.3、12.1.0-12.1.5、11.6.1-11.6.5

0x01 误差详情

尊龙凯时·(中国区)人生就是搏!

F5 BIG-IP是美国F5公司的一款集成了网络流量治理、应用程序清静治理、负载平衡等功效的应用交付平台。BIG-IP提供了应用程序加速、负载平衡、速率调解、SSL卸载和Web应用程序防护功效。该产品已被许多公司使用，F5声称全球50强公司中有48家是其客户。

网络清静公司Positive Technologies的研究职员发明了BIG-IP应用交付系统（ADC）的设置接口中的一个远程代码执行误差（CVE-2020-5902），CVSS评分10分，攻击者可使用该误差完全控制目的系统。

未经身份验证的攻击者或经由身份验证的用户通过BIG-IP治理端口或IP会见TMUI，攻击者可使用该误差执行恣意系统下令、建设或删除文件、禁用服务、执行恣意的Java代码。

0x02 处置惩罚建议

现在厂商宣布了该软件11.x版本，12.x版本，13.x版本，14.x版本和15.1.0版本的修复步伐，15.0.0版本的修复步伐暂未宣布，详细如下：

尊龙凯时·(中国区)人生就是搏!

暂时步伐：

? All network interfaces

为避免未经身份验证的攻击者使用此误差，请将LocationMatch设置元素添加到httpd。请执行以下办法：

注重：经由身份验证的用户将仍然能够使用此误差，而无需思量其特权级别。

1. 通过输入以下下令登录到TMOS Shell（tmsh）：

Tmsh

2. 通过输入以下下令来编辑httpd属性：

edit /sys httpd all-properties

3. 找到include部分并添加以下内容：

include '

Redirect 404 /

4. 输入以下下令，生涯到设置文件中：

Esc

:wq!

5. 输入以下下令来生涯设置：

save /sys config

6. 输入以下下令重新启动httpd服务：

restart sys service httpd

? Self IPs

通过Self IPs战略阻止对BIG-IP系统TMUI的会见权限。为此，您可以将系统中每个Self IPs的Port Lockdown设置为“Allow None”。若是必需翻开恣意端口，则应使用Allow Custom，注重榨取会见TMUI。默认情形下，TMUI侦听TCP 443端口，可是，从BIG-IP 13.0.0版本最先，Single-NIC BIG-IP VE安排使用TCP 8443端口，也可以设置自界说端口。

注重：通过Self IP战略榨取对TMUI/Configuration程序的权限的会见，这对其他服务可能爆发影响。

在更改Self IPs的设置之前，请参考以下内容：

https://support.f5.com/csp/article/K17333

https://support.f5.com/csp/article/K13092

https://support.f5.com/csp/article/K31003634

https://support.f5.com/csp/article/K51358480

? Management interface

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

CVE-2020-5902 | F5 BIG-IP远程代码执行误差通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线