Loading
0

F5设备中存在一个Ticketbleed漏洞,可被远程攻击者利用

F5 Networks BIG-IP设备中存在一个严重漏洞,漏洞编号为CVE-2016-9244。该漏洞被命名为Ticketbleed,可被远程攻击者利用于窃取内存中的敏感信息,包括敏感数据(比如SSL Session ID)。

受影响的F5 BIG-IP设备包括LTM、AAM、AFM、Analytics、APM、ASM、GTM、 Link Controller、PEM、PSM。

F5设备中存在致命漏洞

发现这枚漏洞的是著名安全专家Filippo Valsorda及其同事,他们 表示 :

该漏洞存在于执行Session Tickets的过程中,Session Tickets是加速重复连接的一项恢复技术。当客户端提供Session ID和Session Tickets时,服务器会返回该Session ID,以示接受了Session Tickets。Session ID的长度只要在1到31个字节之间就行。

即便Session ID很短,甚至只有几个字节,F5堆也会返回32字节的内存。所以,攻击者提供1字节的Session ID,F5堆便会返回一个31字节的未初始化内存。

Filippo Valsorda是在去年10月底将这一问题披露给F5的,F5也已经确认了这一问题并发布了安全公告:

造成该漏洞的原因是,BIG-IP虚拟服务器配置了一个客户端SSL属性,其中的非默认Session Tickets选项可能会泄露31字节的未初始化内存。远程攻击者可能利用该漏洞获得SSL Session ID,甚至还可能会拿到其他一些敏感信息。

F5公司建议用户最好暂时禁用Session Tickets选项,禁用操作为Local Traffic > Profiles > SSL > Client。Filippo Valsorda也自己写了一个 工具 ,大家可以用这个工具检查自己的网站是否受该漏洞的影响。目前扫描发现受影响的网站包括:

www.adnxs.com
www.aktuality.sk
www.ancestry.com
www.ancestry.co.uk
www.blesk.cz
www.clarin.com
www.findagrave.com
www.mercadolibre.com.ar
www.mercadolibre.com.co
www.mercadolibre.com.mx
www.mercadolibre.com.pe
www.mercadolibre.com.ve
www.mercadolivre.com.br
www.netteller.com
www.paychex.com

危害程度堪比“心脏出血”漏洞

大家还记得心脏出血漏洞吗?一个漏洞可以让任何人都能读取系统的运行内存,因影响巨大,故取名为心脏出血。所以这里同样引用bleed一词,类比于心脏出血,可见其严重程度非同一般。

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。