検出

F5 Networks BIG-IP : Node.js の脆弱性 (K000137090)

medium Nessus プラグイン ID 182422

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

リモートホストにインストールされている F5 Networks BIG-IP のバージョンは、テスト済みバージョンより前です。したがって、K000137090 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Node.js: Node.js 6.15.0、8.14.0、10.14.0、11.3.0 より前の全バージョン: 大きな HTTP ヘッダーによるサービス拒否: 最大サイズのヘッダー (1 接続につきほぼ 80KB) の大量のリクエストの組み合わせと注意深くタイミング設定されたヘッダーの完了を使用して、HTTP サーバーをヒープアロケーションの失敗によって停止させる可能性があります。ロードバランサーまたは他のプロキシレイヤーを使用することで、攻撃の可能性が緩和されます。(CVE-2018-12121)

 - Node.js: Node.js 6.15.0、8.14.0、10.14.0、11.3.0 より前の全バージョン: Slowloris HTTP のサービス拒否: 攻撃者は、ヘッダーを非常にゆっくりと送信することで、HTTP または HTTPS の接続と関連するリソースを長期間維持することで、サービス拒否 (DoS) を引き起こす可能性があります。(CVE-2018-12122)

 - Node.js: Node.js 6.15.0、8.14.0、10.14.0、11.3.0 より前の全バージョン: javascript プロトコルの URL パーサーにおけるホスト名のなりすまし: Node.js アプリケーションが URL ホスト名を判断するために url.parse() を使用している場合、そのホスト名は大文字と小文字が混在する javascript: (e.g. javAscript:) プロトコルを使用することで、ホスト名を偽装できます (他のプロトコルは影響を受けません)。ホスト名に基づいて URL に関するセキュリティの決定が行われた場合、その決定は正しくない可能性があります。(CVE-2018-12123)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

ベンダーはこの脆弱性を認識していますが、解決策は提供されていません。
修正ガイダンスについては、ベンダーにお問い合わせください。

参考資料

https://my.f5.com/manage/s/article/K000137090

プラグインの詳細

深刻度: Medium

ID: 182422

ファイル名: f5_bigip_SOL000137090.nasl

バージョン: 1.4

タイプ: local

公開日: 2023/10/2

更新日: 2024/3/20

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2018-12123

CVSS v3

リスクファクター: Medium

基本値: 4.3

現状値: 3.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_domain_name_system, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/a:f5:big-ip_policy_enforcement_manager, cpe:/a:f5:big-ip_wan_optimization_manager, cpe:/h:f5:big-ip_protocol_security_manager, cpe:/h:f5:big-ip

必要な KB アイテム: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

エクスプロイトの容易さ: No known exploits are available

脆弱性公開日: 2018/11/28

参照情報

CVE: CVE-2018-12121, CVE-2018-12122, CVE-2018-12123