首页 云计算

云安全日报201218:负载均衡厂商F5 BIG-IP发现跨站脚本漏洞,需要尽快升级

F5(F5 Networks)是全球领先的应用交付网络(ADN)领域的厂商。12月17日,F5 BIG-IP(负载均衡器)发现XSS(跨站脚本攻击)漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

来源:https://support.f5.com/csp/article/K19166530

CVE-2020-27719 CVSSv3评分:7.5 高

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

攻击者可以利用此漏洞在当前登录用户的上下文中运行JavaScript,发起XSS攻击。具有成功利用此漏洞的高级外壳(bash)访问权限的管理用户可以通过远程执行代码来完全破坏BIG-IP系统。

受影响产品及版本

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)以下版本受到影响:

16.0.0版本,

15.0.0 - 15.1.0版本,

14.1.0 - 14.1.3版本

解决方案

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) :

16.0.0升级16.0.1版本,

15.0.0 - 15.1.0升级15.1.1版本,

14.1.0 - 14.1.3升级14.1.3.1版本

查看更多漏洞信息 以及升级请访问官网:

https://support.f5.com/csp/bug-tracker

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多