CERT-FI haavoittuvuustiedote 053/2010

18.3.2010

Haavoittuvuus F5 BIG-IP Secure Access Manager -tuotteessa

Kohde:	- verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

F5 BIG-IP SAM on SSL-VPN -tuote, jonka avulla voidaan rakentaa etäkäyttöratkaisuja.

F5 BIG-IP Secure Access Manager (SAM) -tuotteessa on Microsoft Active Template Library (ATL) -kirjastoon liittyvä haavoittuvuus, joka saattaa mahdollistaa komentojen mielivaltaisen suorittamisen. CERT-FI on julkaissut tiedotteen ATL-kirjaston haavoittuvuudesta kesällä 2009.

HAAVOITTUVAT OHJELMISTOT:

• BIG-IP SAM versio 8.0

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Valmistaja on ilmoittanut korjaavansa haavoittuvuuden seuraavassa versiossa.

Päivitetty 16.12.2011:
Ohjelmistoon on julkaistu korjauspäivitys, joka on saatavilla ohjelmistoimittajan sivustolla.

LISÄTIETOA:

• http://www.vupen.com/english/advisories/2010/0645
• https://support.f5.com/kb/en-us/solutions/public/10000/400/sol10441.html (vaatii rekisteröitymisen)
• http://www.microsoft.com/technet/security/advisory/973882.mspx
• http://www.cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-066.html
• CVE-2009-0901
• CVE-2009-2493
• CVE-2009-2495

PÄIVITYSHISTORIA:

18.3.2010, kello 16.02: Julkaistu
16.12.2011, kello 16.42: Lisätty tieto päivityksestä

Sivua päivitetty 16.12.2011

Tulostusversio