F5 Networks BIG-IP：BIG-IP APM VPNの脆弱性（K71891773）

medium Nessus プラグイン ID 154677

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

リモートホストにインストールされているF5 Networks BIG-IPのバージョンは、13.1.3.6 / 14.1.4 / 15.1.2.1 / 16.0.1.1 / 16.1.0より前です。したがって、K71891773のアドバイザリに記載されている脆弱性の影響を受けます。

-BIG-IP APM 16.0.1.1より前の16.0.x、15.1.2.1より前の15.1.x、14.1.4より前の14.1.x、13.1.3.6より前の13.1.x、またはすべての12.1.xおよび11.6.xのバージョン、もしくはEdge Clientバージョン7.2.1.1より前の7.2.1.x、7.1.9.8より前の7.1.9.x、または7.1.8.5より前の7.1.8.xでは、WindowsシステムのブラウザからVPNを起動したときに、f5vpn.exeコマンドの引数にセッションIDが表示されます。この問題に対処するには、クライアントとサーバーの両方の修正が必要です。注：ソフトウェアの開発終了（EoSD）に達したソフトウェアのバージョンは評価されていません。（CVE-2021-23002）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

F5 Solution K71891773に記載されている脆弱ではないバージョンのいずれかにアップグレードしてください。

参考資料

https://my.f5.com/manage/s/article/K71891773

プラグインの詳細

深刻度: Medium

ID: 154677

ファイル名: f5_bigip_SOL71891773.nasl

バージョン: 1.3

タイプ: local

ファミリー: F5 Networks Local Security Checks

公開日: 2021/10/28

更新日: 2023/11/3

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Low

基本値: 2.7

現状値: 2

ベクトル: CVSS2#AV:A/AC:L/Au:S/C:P/I:N/A:N

CVSS スコアのソース: CVE-2021-23002

CVSS v3

リスクファクター: Medium

基本値: 4.5

現状値: 3.9

ベクトル: CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/h:f5:big-ip

必要な KB アイテム: Host/local_checks_enabled, Settings/ParanoidReport, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/3/10

脆弱性公開日: 2021/3/31

参照情報

CVE: CVE-2021-23002