发布日期:2012-06-11
更新日期:2012-06-12
受影响系统:
F5 BigIP 11.x
F5 BigIP 10.x
F5 BigIP 9.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-1493
BIG-IP是应用交付控制器,为更广泛的企业提供集成应用交付和加速功能。Matta于2001年在伦敦成立,拥有资深的专业顾问,是“老虎计划”培训服务的公认提供商,进行常规的研究,是webcheck应用扫描器和colossus网络扫描器的开发者。
BIG-IP 11.x 10.x 9.x平台在实现上允许未验证用户绕过身份验证并以root用户登录到设备,对应下面公钥的SSH密钥是公开的,并出现在所有有漏洞的设备中。如果攻击者获取设备完全控制权,则会发动针对其他基础架构的攻击。
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAvIhC5skTzxyHif/7iy3yhxuK6/OB13hjPqrskogkYFrcW8OK4VJT
+5+Fx7wd4sQCnVn8rNqahw/x6sfcOMDI/Xvn4yKU4t8TnYf2MpUVr4ndz39L5Ds1n7Si1m2suUNxWbKv58I8+NMhlt2ITraSuTU0NGymW
Oc8+LNi+MHXdLk= SCCP Superuser
其指纹码是:
71:3a:b0:18:e2:6c:41:18:4e:56:1e:fd:d2:49:97:66
<*来源:Florent Daigniere (nextgens@freenetproject.org)
链接:https://www.trustmatta.com/advisories/MATTA-2012-002.txt
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
F5
--
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: