Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en BIG-IP de F5

Múltiples vulnerabilidades en BIG-IP de F5

Fecha de publicación: 
12/05/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • BIG-IP (APM), versiones:
    • 15.0.0 - 15.1.0,
    • 14.1.0 - 14.1.2,
    • 13.1.0 - 13.1.3,
    • 12.1.0 - 12.1.5,
    • 11.6.1 - 11.6.5;
  • BIG-IP APM Clients, versiones:
    • 7.1.5 - 7.1.9.
Descripción: 

Juliette Chapalain, del Red Team/CERT Société Générale, ha descubierto dos vulnerabilidades, ambas de severidad alta, que afectan al producto BIG-IP Edge Client para Windows de F5, de tipo permisos insuficientes de archivos y carpetas, y uso la memoria previamente liberada.

Solución: 

En la versión 13.1.0 de BIG-IP APM y posteriores, los componentes APM Clients pueden actualizarse independientemente del software BIG-IP, tal y como se indica en K52547540: Updating BIG-IP Edge Client for the BIG-IP APM system y K13757: BIG-IP Edge Client version matrix.

Detalle: 
  • La carpeta temporal de BIG-IP Edge Client Windows Installer Service tiene archivos y carpetas con permisos inadecuados, y permite la ejecución de archivos .exe y MSI firmados, lo que daría la posibilidad a un usuario, sin privilegios, de realizar una escalada de privilegios en el cliente de Windows. Se ha reservado el identificador CVE-2020-5896 para esta vulnerabilidad.
  • Una vulnerabilidad, de tipo memoria previamente liberada, en BIG-IP Edge Client Windows ActiveX, permitiría que un atacante cause fallos en la memoria del navegador o ejecute código desde el navegador creando una página web maliciosa y cargándola en el navegador Internet Explorer, utilizado por los usuarios de BIG-IP Edge Client. Se ha reservado el identificador CVE-2020-5897 para esta vulnerabilidad.

Encuesta valoración