CERT-FI haavoittuvuustiedote 052/2010

18.3.2010

Haavoittuvuus F5 FirePass -tuotteessa

Kohde:	- verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

F5 FirePass on SSL-VPN -tuote, jonka avulla voidaan rakentaa etäkäyttöratkaisuja.

F5 FirePass -tuotteessa on Microsoft Active Template Library (ATL) -kirjastoon liittyvä haavoittuvuus, joka saattaa mahdollistaa komentojen mielivaltaisen suorittamisen. CERT-FI on julkaissut tiedotteen ATL-kirjaston haavoittuvuudesta kesällä 2009.

HAAVOITTUVAT OHJELMISTOT:

• F5 FirePass versiot 5.5 - 5.5.2
• F5 FirePass versiot 6.0 - 6.0.3

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä tuote versioon 6.1.0 tai asenna valmistajan korjauspäivitys versioihin 5.5.2 ja 6.0.2. Uusi versio ja korjauspäivitys on saatavilla valmistajan tukisivuilla (vaatii rekisteröitymisen).

LISÄTIETOA:

• http://www.vupen.com/english/advisories/2010/0644
• https://support.f5.com/kb/en-us/solutions/public/10000/400/sol10441.html (vaatii rekisteröitymisen)
• http://www.microsoft.com/technet/security/advisory/973882.mspx
• http://www.cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-066.html
• CVE-2009-0901
• CVE-2009-2493
• CVE-2009-2495

PÄIVITYSHISTORIA:

18.3.2010, kello 16.35: Julkaistu

Sivua päivitetty 18.03.2010

Tulostusversio