尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,F5 发布了BIG-IP TMUI(流量管理用户接口)的远程代码执行风险通告(漏洞编号为 CVE-2020-5902),未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行,进而控制 F5 BIG-IP 的全部功能。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。
漏洞存在于 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中,未授权的远程攻击者可向该页面发送特殊构造的请求包,达到远程代码执行的目的,控制 F5 BIG-IP 的全部功能,如执行任意系统命令、开启/禁用系统服务等。
风险等级
高风险
漏洞风险
执行任意系统命令、开启/禁用服务、创建/删除服务器端文件
影响版本
BIG-IP 15.x: 15.1.0/15.0.0 版本
BIG-IP 14.x: 14.1.0 ~ 14.1.2 版本
BIG-IP 13.x: 13.1.0 ~ 13.1.3 版本
BIG-IP 12.x: 12.1.0 ~ 12.1.5 版本
BIG-IP 11.x: 11.6.1 ~ 11.6.5 版本
安全版本
BIG-IP 15.x: 15.1.0.4 版本
BIG-IP 14.x: 14.1.2.6 版本
BIG-IP 13.x: 13.1.3.4 版本
BIG-IP 12.x: 12.1.5.2 版本
BIG-IP 11.x: 11.6.5.2版本
修复建议
F5官方已发布漏洞修复更新,腾讯云安全建议您:
1、更新到上述安全版本;
2、临时缓解方案:
1) 使用以下命令登录 TMOS Shell终端 :
代码语言:javascript复制tmsh2) 使用如下命令对 httpd 属性配置进行修改:
代码语言:javascript复制edit /sys httpd all-properties3) 在文件中找到 include 配置项,添加如下内容:
代码语言:javascript复制include'
<LocationMatch“;”>
Redirect404 /
</ LocationMatch>
'4) 按照如下操作保存文件:
代码语言:javascript复制按下 ESC 并依次输入 :wq5) 执行命令刷新配置文件:
代码语言:javascript复制save /sys config6) 重启 httpd 服务:
代码语言:javascript复制restart sys service httpd同时建议配置安全组或访问控制策略,对外禁止外部对TMUI的访问。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
1)官方更新通告:https://support.f5.com/csp/article/K52145254
