BDU:2021-01656

Опубликовано: 10 мар. 2021

Источник: fstec

CVSS3: 9

CVSS2: 7.6

EPSS Средний

Описание

Уязвимость компонента Traffic Management Microkernel (TMM) URI виртуального сервера средств защиты приложений BIG-IP связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Local Traffic Manager

BIG-IP Application Acceleration Manager

BIG-IP Advanced Web Application Firewall

BIG-IP Advanced Firewall Manager

BIG-IP Analytics

BIG-IP Access Policy Manager

BIG-IP Application Security Manager

BIG-IP DDos Hybrid Defender

BIG-IP DNS

BIG-IP Fraud Protection Service

BIG-IP Global Traffic Manager

BIG-IP Link Controller

BIG-IP Policy Enforcement Manager

BIG-IP SSL Orchestrator

Версия ПО

от 16.0.0 до 16.0.1.1 (BIG-IP Local Traffic Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Local Traffic Manager)

от 14.1.0 до 14.1.4 (BIG-IP Local Traffic Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Local Traffic Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Local Traffic Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Application Acceleration Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Application Acceleration Manager)

от 14.1.0 до 14.1.4 (BIG-IP Application Acceleration Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Application Acceleration Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Application Acceleration Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Web Application Firewall)

от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Web Application Firewall)

от 14.1.0 до 14.1.4 (BIG-IP Advanced Web Application Firewall)

от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Web Application Firewall)

от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Web Application Firewall)

от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Firewall Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Firewall Manager)

от 14.1.0 до 14.1.4 (BIG-IP Advanced Firewall Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Firewall Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Firewall Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Analytics)

от 15.1.0 до 15.1.2.1 (BIG-IP Analytics)

от 14.1.0 до 14.1.4 (BIG-IP Analytics)

от 13.1.0 до 13.1.3.6 (BIG-IP Analytics)

от 12.1.0 до 12.1.5.3 (BIG-IP Analytics)

от 16.0.0 до 16.0.1.1 (BIG-IP Access Policy Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Access Policy Manager)

от 14.1.0 до 14.1.4 (BIG-IP Access Policy Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Access Policy Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Access Policy Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Application Security Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Application Security Manager)

от 14.1.0 до 14.1.4 (BIG-IP Application Security Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Application Security Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Application Security Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP DDos Hybrid Defender)

от 15.1.0 до 15.1.2.1 (BIG-IP DDos Hybrid Defender)

от 14.1.0 до 14.1.4 (BIG-IP DDos Hybrid Defender)

от 13.1.0 до 13.1.3.6 (BIG-IP DDos Hybrid Defender)

от 12.1.0 до 12.1.5.3 (BIG-IP DDos Hybrid Defender)

от 16.0.0 до 16.0.1.1 (BIG-IP DNS)

от 15.1.0 до 15.1.2.1 (BIG-IP DNS)

от 14.1.0 до 14.1.4 (BIG-IP DNS)

от 13.1.0 до 13.1.3.6 (BIG-IP DNS)

от 12.1.0 до 12.1.5.3 (BIG-IP DNS)

от 16.0.0 до 16.0.1.1 (BIG-IP Fraud Protection Service)

от 15.1.0 до 15.1.2.1 (BIG-IP Fraud Protection Service)

от 14.1.0 до 14.1.4 (BIG-IP Fraud Protection Service)

от 13.1.0 до 13.1.3.6 (BIG-IP Fraud Protection Service)

от 12.1.0 до 12.1.5.3 (BIG-IP Fraud Protection Service)

от 16.0.0 до 16.0.1.1 (BIG-IP Global Traffic Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Global Traffic Manager)

от 14.1.0 до 14.1.4 (BIG-IP Global Traffic Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Global Traffic Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Global Traffic Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Link Controller)

от 15.1.0 до 15.1.2.1 (BIG-IP Link Controller)

от 14.1.0 до 14.1.4 (BIG-IP Link Controller)

от 13.1.0 до 13.1.3.6 (BIG-IP Link Controller)

от 12.1.0 до 12.1.5.3 (BIG-IP Link Controller)

от 16.0.0 до 16.0.1.1 (BIG-IP Policy Enforcement Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Policy Enforcement Manager)

от 14.1.0 до 14.1.4 (BIG-IP Policy Enforcement Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Policy Enforcement Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Policy Enforcement Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP SSL Orchestrator)

от 15.1.0 до 15.1.2.1 (BIG-IP SSL Orchestrator)

от 14.1.0 до 14.1.4 (BIG-IP SSL Orchestrator)

от 13.1.0 до 13.1.3.6 (BIG-IP SSL Orchestrator)

от 12.1.0 до 12.1.5.3 (BIG-IP SSL Orchestrator)

Тип ПО

ПО сетевого программно-аппаратного средства

Сетевое средство

Средство защиты

Программное средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://support.f5.com/csp/article/K90004114

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-22991
CVE

EPSS

Процентиль: 98%

0.6626

Средний

9 Critical

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2021-22991

CVSS3: 9.8

nvd

почти 5 лет назад

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3, undisclosed requests to a virtual server may be incorrectly handled by the Traffic Management Microkernel (TMM) URI normalization, which may trigger a buffer overflow, resulting in a DoS attack. In certain situations, it may theoretically allow bypass of URL based access control or remote code execution (RCE). Note: Software versions which have reached End of Software Development (EoSD) are not evaluated.

GHSA-6w8r-pjm3-q7x7