长亭漏洞风险提示
F5 BIG-IP 远程代码执行漏洞
(CVE-2020-5902)缓解方案绕过
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。TMUI( Traffic Management User Interface,也被叫做 Configuration utility )是 BIG-IP 中的一个组件。
7 月 1 日,F5 官方发布安全通告,声明对 BIG-IP TMUI 中的一处远程代码执行漏洞进行了修复:
https://support.f5.com/csp/article/K52145254
此漏洞 CVE 编号为 CVE-2020-5902,CVSSv3 评分 10.0,官方评级危害严重。
7 月 7 日更新:有安全研究员发现官方通告里给出的临时缓解方案可被绕过,因此 7 月 7 日,官方更新了安全公告,对临时缓解方案进行了更正。
漏洞描述
CVE-2020-5902 漏洞允许攻击者在未经授权的情况下,通过向 TMUI 发送恶意攻击请求,从而执行任意系统命令、创建或删除文件、禁用服务,以及执行任意 Java 代码,最终完全获取系统权限。Appliance 模式下的 BIG-IP 系统也受到漏洞影响。
此漏洞不影响数据面板,只影响控制面