检测

F5 Networks BIG-IP:Python 漏洞 (K57542514)

critical Nessus 插件 ID 151496

语言:

简介

远程设备缺少供应商提供的安全补丁。

描述

远程主机上安装的 F5 Networks BIG-IP 版本低于 16.1.0。因此,该软件受到 K57542514 公告中提及的多个漏洞影响。

 Python 2.7.x 到 2.7.16 及 3.x 到 3.7.2 的版本受到下列影响:在 NFKC 规范化期间对 Unicode 编码处理不当(具有错误的 netloc)。影响为:信息泄露(针对给定主机名缓存的凭据、cookie 等)。组件为:urllib.parse.urlsplit、urllib.parse.urlparse。攻击向量为:一个可能被错误解析的特制 URL,用来定位 cookie 或验证数据,并将该信息发送至与正确解析时不同的主机。
 已在以下版本中修复:v2.7.17、v2.7.17rc1、v2.7.18、v2.7.18rc1;v3.5.10、v3.5.10rc1、v3.5.7、v3.5.8、v3.5.8rc1、v3.5.8rc2、v3.5.9;v3.6.10、v3.6.10rc1、v3.6.11、v3.6.11rc1、v3.6.12、v3.6.9、v3.6.9rc1;
 v3.7.3、v3.7.3rc1、v3.7.4、v3.7.4rc1、v3.7.4rc2、v3.7.5、v3.7.5rc1、v3.7.6、v3.7.6rc1、v3.7.7、v3.7.7rc1、v3.7.8、v3.7.8rc1、v3.7.9(CVE-2019-9636)自提交 d537ab0ff9767ef024f26246899728f0116b1ec3 以来,在 python 中发现了 CVE-2019-9636 的安全性回归漏洞,影响版本 2.7、3.5、3.6、3.7 以及 v3.8.0a4 到 v3.8.0b1,这仍然允许攻击者通过滥用 URL 的用户和密码部分来利用 CVE-2019-9636。应用程序解析用户提供的 URL 来存储 cookie、验证凭据或其他类信息时,有可能使攻击者提供特制 URL 让应用程序定位主机相关信息(例如,cookie 和身份验证数据)并将它们发送至不同于正确主机的主机,除非 URL 已得到正确解析。攻击结果可能因应用程序而异。(CVE-2019-10160)影响:远程攻击者可能会使用特制的 URL 定位 Cookie 或身份验证数据,并将该信息发送至与正确解析时不同的主机。使用来自不可信来源的 URL 并调用 Python urlsplit() 函数的 BIG-IP 扩展应用验证 (EAV) 监控功能可能受此漏洞影响。

Tenable 直接从 F5 Networks BIG-IP 安全公告中提取了前面的描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级至 F5 解决方案 K57542514 中列出的无漏洞版本之一。

另见

https://my.f5.com/manage/s/article/K57542514

插件详情

严重性: Critical

ID: 151496

文件名: f5_bigip_SOL57542514.nasl

版本: 1.8

类型: local

发布时间: 2021/7/12

最近更新时间: 2025/3/27

配置: 启用偏执模式

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2019-9636

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:f5:big-ip_link_controller, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_domain_name_system, cpe:/a:f5:big-ip_policy_enforcement_manager, cpe:/h:f5:big-ip, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_application_acceleration_manager

必需的 KB 项: Host/local_checks_enabled, Settings/ParanoidReport, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

易利用性: No known exploits are available

补丁发布日期: 2020/9/16

漏洞发布日期: 2019/3/8

参考资料信息

CVE: CVE-2019-10160, CVE-2019-9636