F5 Networks BIG-IP:OpenSSLの脆弱性(K37526132)

high Nessus プラグイン ID 97361

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

SSL/TLSサーバーまたはクライアントが32ビットホストで実行され、特定の暗号が使用されている場合、切り捨てられたパケットにより、そのサーバーまたはクライアントが領域外読み取りを実行し、通常はクラッシュを引き起こす可能性があります。OpenSSL 1.1.0の場合、CHACHA20/POLY1305を使用するとクラッシュをトリガーできます。ユーザーは1.1.0dにアップグレードする必要があります。Openssl 1.0.2の場合、RC4-MD5を使用するとクラッシュをトリガーできます。そのアルゴリズムを無効にしていないユーザーは1.0.2kに更新する必要があります。(CVE-2017-3731)

ソリューション

F5 Solution K37526132に記載されている非脆弱性バージョンのいずれかにアップグレードしてください。

参考資料

https://support.f5.com/csp/article/K37526132

プラグインの詳細

深刻度: High

ID: 97361

ファイル名: f5_bigip_SOL37526132.nasl

バージョン: 3.9

タイプ: local

公開日: 2017/2/24

更新日: 2019/1/4

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS v3

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

脆弱性情報

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/h:f5:big-ip

必要な KB アイテム: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version, Settings/ParanoidReport

パッチ公開日: 2017/2/23

参照情報

CVE: CVE-2017-3731