F5 ha publicado
varios avisos de seguridad donde se reportan múltiples vulnerabilidades de
seguridad en varios de sus productos, catalogadas de Importancia: 3 - Media
Recursos afectados:
1.
BIG-IP
LTM
2.
BIG-IP
AAM
3.
BIG-IP
AFM
4.
BIG-IP
Analytics
5.
BIG-IP
APM
6.
BIG-IP
ASM
7.
BIG-IP
DNS
8.
BIG-IP
Edge Gateway
9.
BIG-IP
GTM
10.
BIG-IP
Link Controller
11.
BIG-IP
PEM
12.
BIG-IP
WebAccelerator
13.
BIG-IP
WebSafe
Recomendación
Si se posee una
versión afectada (listadas en las columnas Versions known to be vulnerable en
las tablas de productos afectados que pueden encontrarse en los enlaces de la
sección Referencias de este aviso), deberá actualizar su producto a alguna de
las versiones listadas en las columnas Versions known to be not vulnerable. Si
en dichas columnas no hubiera una versión no vulnerable o ésta fuera una
versión más antigua que la de su producto, significa que actualmente no existe
una versión candidata que haya corregido la correspondiente vulnerabilidad.
Detalle e impacto de vulnerabilidades
Condición de carrera
en iControl REST permitiría ejecutar comandos con diferentes privilegios
(CVE-2017-6167)
Denegación de
servicio a traves de Traffic Maganement Microkernel (TMM) cuando se manejan
registros TLS1.2 malformados (CVE-2017-6164)
Denegación de
servicio enviando peticiones maliciosas a los servidores virtuales con un
perfil HTTP (Reinicio de TMM) (CVE-2017-6138)
Denegación de
servicio enviando peticiones maliciosas a servidores virtuales con perfiles SSL
que utilizan el cifrado AES-GCM (CVE-2017-6140)
Denegación de
servicio (consumo de memoria) enviando paquetes maliciosos al puerto de gestión
de BIG-IP (CVE-2017-6135)
Denegación de
servicio (reinicio de TMM) (CVE-2017-6133)
Denegación de
servicio cuando servidores virtuales estan configurados con un perfil HTTP/2
(CVE-2017-6151)
Acceso a recursos
internos en BIG-IP APM (CVE-2017-0301)
Más información
Certsi https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-f5-0
Fuente: INCIBE
