Múltiples vulnerabilidades en BIG-IP de F5
Fecha de publicación 12/05/2020
Importancia
4 - Alta
Recursos Afectados
- BIG-IP (APM), versiones:
- 15.0.0 - 15.1.0,
- 14.1.0 - 14.1.2,
- 13.1.0 - 13.1.3,
- 12.1.0 - 12.1.5,
- 11.6.1 - 11.6.5;
- BIG-IP APM Clients, versiones:
- 7.1.5 - 7.1.9.
Descripción
Juliette Chapalain, del Red Team/CERT Société Générale, ha descubierto dos vulnerabilidades, ambas de severidad alta, que afectan al producto BIG-IP Edge Client para Windows de F5, de tipo permisos insuficientes de archivos y carpetas, y uso la memoria previamente liberada.
Solución
En la versión 13.1.0 de BIG-IP APM y posteriores, los componentes APM Clients pueden actualizarse independientemente del software BIG-IP, tal y como se indica en K52547540: Updating BIG-IP Edge Client for the BIG-IP APM system y K13757: BIG-IP Edge Client version matrix.
Detalle
- La carpeta temporal de BIG-IP Edge Client Windows Installer Service tiene archivos y carpetas con permisos inadecuados, y permite la ejecución de archivos .exe y MSI firmados, lo que daría la posibilidad a un usuario, sin privilegios, de realizar una escalada de privilegios en el cliente de Windows. Se ha reservado el identificador CVE-2020-5896 para esta vulnerabilidad.
- Una vulnerabilidad, de tipo memoria previamente liberada, en BIG-IP Edge Client Windows ActiveX, permitiría que un atacante cause fallos en la memoria del navegador o ejecute código desde el navegador creando una página web maliciosa y cargándola en el navegador Internet Explorer, utilizado por los usuarios de BIG-IP Edge Client. Se ha reservado el identificador CVE-2020-5897 para esta vulnerabilidad.
Listado de referencias