服务公告

全部公告 > 安全公告 > F5 BIG-IP 配置实用程序(TMUI)远程代码执行漏洞(CVE-2020-5902)

F5 BIG-IP 配置实用程序(TMUI)远程代码执行漏洞(CVE-2020-5902)

2020-07-03

一、概要

近日华为云监测到美国F5公司的F5 BIG-IP官网发布一则安全公告,披露F5 BIG-IP的流量管理用户界面(TMUI),也称为配置实用程序,在未公开的页面中存在远程执行代码漏洞(CVE-2020-5902)。未经身份验证的攻击者利用漏洞,通过发送特制的请求包可导致远程代码执行。

华为云提醒使用F5 BIG-IP的用户及时安排自检并做好安全加固。

详情请参考链接:

https://support.f5.com/csp/article/K52145254

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

受影响版本:

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

BIG-IP 11.x: 11.6.1 ~ 11.6.5

安全版本:

BIG-IP 15.x: 15.1.0.4

BIG-IP 14.x: 14.1.2.6

BIG-IP 13.x: 13.1.3.4

BIG-IP 12.x: 12.1.5.2

BIG-IP 11.x: 11.6.5.2

四、漏洞处置

目前,官方已在相应的分支中提供了安全版本,请受影响的用户升级到安全版本。

若无法及时升级,可参考官方公告中提供的规避措施进行风险规避:https://support.f5.com/csp/article/K52145254

注:修复漏洞前请将资料备份,并进行充分测试。