回归最本质的信息安全

F5设备中存在一个Ticketbleed漏洞,可被远程攻击者利用

2017年2月10日发布

8,332
2
0

导语:F5 Networks BIG-IP设备中存在一个严重漏洞,漏洞编号为CVE-2016-9244。该漏洞被命名为Ticketbleed,可被远程攻击者利用于窃取内存中的敏感信息,包括敏感数据。

1486696269843074.jpg

F5 Networks BIG-IP设备中存在一个严重漏洞,漏洞编号为CVE-2016-9244。该漏洞被命名为Ticketbleed,可被远程攻击者利用于窃取内存中的敏感信息,包括敏感数据(比如SSL Session ID)。

受影响的F5 BIG-IP设备包括LTM、AAM、AFM、Analytics、APM、ASM、GTM、 Link Controller、PEM、PSM。

F5设备中存在致命漏洞

发现这枚漏洞的是著名安全专家Filippo Valsorda及其同事,他们表示

该漏洞存在于执行Session Tickets的过程中,Session Tickets是加速重复连接的一项恢复技术。当客户端提供Session ID和Session Tickets时,服务器会返回该Session ID,以示接受了Session Tickets。Session ID的长度只要在1到31个字节之间就行。

即便Session ID很短,甚至只有几个字节,F5堆也会返回32字节的内存。所以,攻击者提供1字节的Session ID,F5堆便会返回一个31字节的未初始化内存。

Filippo Valsorda是在去年10月底将这一问题披露给F5的,F5也已经确认了这一问题并发布了安全公告:

造成该漏洞的原因是,BIG-IP虚拟服务器配置了一个客户端SSL属性,其中的非默认Session Tickets选项可能会泄露31字节的未初始化内存。远程攻击者可能利用该漏洞获得SSL Session ID,甚至还可能会拿到其他一些敏感信息。

1486696369390880.png

F5公司建议用户最好暂时禁用Session Tickets选项,禁用操作为Local Traffic > Profiles > SSL > Client。Filippo Valsorda也自己写了一个工具,大家可以用这个工具检查自己的网站是否受该漏洞的影响。目前扫描发现受影响的网站包括:

www.adnxs.com
www.aktuality.sk
www.ancestry.com
www.ancestry.co.uk
www.blesk.cz
www.clarin.com
www.findagrave.com
www.mercadolibre.com.ar
www.mercadolibre.com.co
www.mercadolibre.com.mx
www.mercadolibre.com.pe
www.mercadolibre.com.ve
www.mercadolivre.com.br
www.netteller.com
www.paychex.com

危害程度堪比“心脏出血”漏洞

大家还记得心脏出血漏洞吗?一个漏洞可以让任何人都能读取系统的运行内存,因影响巨大,故取名为心脏出血。所以这里同样引用bleed一词,类比于心脏出血,可见其严重程度非同一般。

本文参考来源于securityaffairs,ARS,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/3323.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

張奕源Nick

張奕源Nick

嘶吼编辑

发私信

发表评论

    蔡宁宁
    蔡宁宁 2017-02-10 11:54

    谁来说说F5是啥?