Vulnerabilidad en varios productos de F5

Fecha de publicación 17/12/2018
Importancia
4 - Alta
Recursos Afectados
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator)
    • Desde la versión 14.0.0 hasta la 14.1.0
    • Desde la versión 13.1.0 hasta la 13.1.1
  • BIG-IQ Centralized Management
    • Desde la versión 6.0.0 hasta la 6.0.1
    • Desde la versión 5.2.0 hasta la 5.4.0
Descripción

Un atacante remoto podría conectar un ordenador al puerto de depuración y ejecutar un JavaScript arbitrario.

Solución
  • Para BIG-IQ Centralized Management, desde la versión 6.0.0 hasta la 6.0.1, actualizar a la versión 6.1.0.
  • Para los demás productos y versiones, por el momento no se han publicado actualizaciones, se puede consultar cómo mitigar esta vulnerabilidad en la página de F5, publicada en la sección de Referencias.
Detalle
  • Una vulnerabilidad que afecta a Node.js (versiones anteriores a la 6.15.0), utilizado por el componente iRulesLX de F5, podría permitir que un atacante remoto se conecte al puerto 5858 utilizado para depurar en cualquier interfaz de forma predeterminada y ejecute JavaScript arbitrario. Se ha asignado el identificador CVE-2018-12120 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
K37111863: NodeJS vulnerability CVE-2018-12120
Etiquetas