服务公告
F5 BIG-IP 配置实用程序(TMUI)远程代码执行漏洞(CVE-2020-5902)
2020-07-03
一、概要
近日华为云监测到美国F5公司的F5 BIG-IP官网发布一则安全公告,披露F5 BIG-IP的流量管理用户界面(TMUI),也称为配置实用程序,在未公开的页面中存在远程执行代码漏洞(CVE-2020-5902)。未经身份验证的攻击者利用漏洞,通过发送特制的请求包可导致远程代码执行。
华为云提醒使用F5 BIG-IP的用户及时安排自检并做好安全加固。
详情请参考链接:
https://support.f5.com/csp/article/K52145254
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
受影响版本:
BIG-IP 15.x: 15.1.0/15.0.0
BIG-IP 14.x: 14.1.0 ~ 14.1.2
BIG-IP 13.x: 13.1.0 ~ 13.1.3
BIG-IP 12.x: 12.1.0 ~ 12.1.5
BIG-IP 11.x: 11.6.1 ~ 11.6.5
安全版本:
BIG-IP 15.x: 15.1.0.4
BIG-IP 14.x: 14.1.2.6
BIG-IP 13.x: 13.1.3.4
BIG-IP 12.x: 12.1.5.2
BIG-IP 11.x: 11.6.5.2
四、漏洞处置
目前,官方已在相应的分支中提供了安全版本,请受影响的用户升级到安全版本。
若无法及时升级,可参考官方公告中提供的规避措施进行风险规避:https://support.f5.com/csp/article/K52145254
注:修复漏洞前请将资料备份,并进行充分测试。