手机站 | 电信站 | 联通站| 业务咨询:400-777-3808

F5 BIG-IP设备存在TicketBleed漏洞的安全公告

关于F5 BIG-IP设备存在TicketBleed漏洞的安全公告

 时间:2017-02-10
 
 

 

        近日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP设备TLS/SSL堆栈溢出漏洞“又称TicketBleed漏洞”(CNVD-2017-01171,CVE-2016-9244)。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,远程攻击者利用该漏洞持续获取服务器端的内存数据。由于BIG-IP设备多用于互联网出入口流量管理和负载优化,有可能导致用户敏感信息(如:业务数据)泄露。不过根据当前测试结果,受影响范围还较为有限。

        一、漏洞情况分析

        F5 BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能,主要用于互联网出入口流量管理和负载优化。Session Tickets是加速重复连接的一项恢复技术。

        BIG-IP虚拟服务器配置客户端SSL配置文件启用了非默认Session Tickets选项,当客户端提供SessionID和Session Tickets时, Session ID的长度可以在1到31个字节之间,而F5堆栈总是回显32字节的内存。攻击者利用该漏洞提供1字节Session ID可收到31字节的未初始化内存信息,从而获取其他会话安全套接字层(SSL)SessionID。该漏洞原理类似于OpenSSL“心脏滴血”漏洞,但通过漏洞一次只能获取31个字节数据,而不是64k,需要多次轮询执行攻击,并且仅影响专有的F5 TLS堆栈。

        CNVD对该漏洞的综合评级为“高危”。目前,相关利用方式已经在互联网上公开,近期出现大量攻击尝试的可能。

        二、漏洞影响范围

        受此漏洞影响的设备类型和版本,以及受该漏洞影响的组件和功能的详细信息请参阅下表。根据CNVD秘书处普查情况,相关F5 BIG-IP设备共有70028台暴露在互联网上,而在中国境内有2213台BIG-IP设备(占全球比例3.16%),但测试未发现受到漏洞实际影响。根据漏洞研究者的抽查比例,互联网上443端口受该漏洞影响的443端口TLS服务比例约为0.2%。

 

产品名称
受影响版本
不受影响版本
威胁评级
受影响服务组件
BIG-IP LTM
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2

 

11.2.1

High
BIG-IP virtual server*
BIG-IP AAM
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2
High
BIG-IP virtual server*
BIG-IP AFM
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2
High
BIG-IP virtual server*
BIG-IP Analytics
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2

 

11.2.1

High
BIG-IP virtual server*
BIG-IP APM
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2

 

11.2.1

High
BIG-IP virtual server*
BIG-IP ASM
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2

 

11.2.1

High
BIG-IP virtual server*
BIG-IP GTM
11.4.0 - 11.6.1

 

 

11.6.1 HF2

 

11.2.1

High
BIG-IP virtual server*
BIG-IP Link Controller
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2

 

11.2.1

High
BIG-IP virtual server*
BIG-IP PEM
12.0.0 - 12.1.2

 

11.4.0 - 11.6.1

11.6.1 HF2
High
BIG-IP virtual server*
BIG-IP PSM
11.4.0 - 11.4.1
None
High
BIG-IP virtual server*

 

 

        三、漏洞修复建议

        受影响的产品在本次公开披露时并非所有版本都可以通过升级解决。F5官方提供的临时解决方案如下:

        1. 登录到配置实用程序

        2. 在菜单上导航到本地流量>配置文件> SSL>客户端

        3. 将配置的选项从基本切换到高级

        4. 取消选中Session Ticket选项以禁用该功能

        5. 单击更新以保存更改

        附:参考链接:

        https://filippo.io/Ticketbleed/

        https://blog.filippo.io/finding-ticketbleed/?utm_source=tuicool&utm_medium=referral

        https://support.f5.com/csp/article/K05121675

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-01171

分享到:

热门关注