検出

F5 Networks BIG-IP:PythonとJythonの脆弱性(K53192206)

medium Nessus プラグイン ID 101912

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

** REJECT ** Pythonの各種バージョンはreadline呼び出しを適切に制限しません。これにより、リモートの攻撃者が、長い文字列を介してサービス拒否(メモリ消費)を引き起こす可能性があります。これは、(1)httplib - 2.7.4、2.6.9、3.3.3で修正、(2)ftplib - 2.7.6、2.6.9、3.3.3で修正、(3)imaplib - 2.7.xでは未修正、2.6.9、3.3.3で修正、(4)nntplib - 2.7.6、2.6.9、3.3.3で修正、(5)poplib - 2.7.xでは未修正、2.6.9、3.3.3で修正、(6)smtplib - 2.7.xでは未修正、2.6.9で修正、3.3.xでは未修正に関連します。注:CVE Counting DecisionsのCNT1 'Independently Fixable'と互換性がないためREJECTになりました。(CVE-2013-1752)ネットワークプロトコル(httplibやsmtplibなど)を実装する複数のPython標準ライブラリモジュールが、サーバー応答のサイズを制限することに失敗することが、見つかりました。悪意のあるサーバーにより、影響を受けるモジュールの1つを使用するクライアントによって、過剰な量のメモリが消費されることがあります。重要:CNT1 CVEカウントルールの基準を満たさなかったため、CVE-2013-1752のステータスはMITREによってREJECTに変更されました。ただし、元の脆弱性は、この記事の「セキュリティアドバイザリステータス」セクションに示されているバージョンで対処されています。詳細については、「CVEカウントルール」を参照してください。このリンクを使用すると、AskF5外部のリソースに移動します。サードパーティは、通知なくこのドキュメントを削除できます。影響:この脆弱性により、悪意のあるサーバーが非常に長い応答を送信し、クライアントで過剰なメモリ使用を引き起こしてサービス拒否(DoS)を発生させる可能性があります。

ソリューション

F5 Solution K53192206に記載されている非脆弱性バージョンのいずれかにアップグレードしてください。

参考資料

https://cve.mitre.org/about/faqs.html#reject_signify_in_cve_entry

https://cve.mitre.org/cve/list_rules_and_guidance/counting_rules.html

https://support.f5.com/csp/article/K53192206

プラグインの詳細

深刻度: Medium

ID: 101912

ファイル名: f5_bigip_SOL53192206.nasl

バージョン: 3.7

タイプ: local

公開日: 2017/7/24

更新日: 2021/3/10

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 4.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_application_acceleration_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_link_controller, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_policy_enforcement_manager, cpe:/a:f5:big-ip_webaccelerator, cpe:/h:f5:big-ip, cpe:/h:f5:big-ip_protocol_security_manager

必要な KB アイテム: Host/local_checks_enabled, Settings/ParanoidReport, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/7/21

脆弱性公開日: 2019/6/3

参照情報

CVE: CVE-2013-1752

BID: 63804