F5最新CVE漏洞說明

尊敬的客戶：

您好！

作為安全漏洞持續(xù)管理的一部分，F(xiàn)5在8月24日發(fā)布了BIG-IP和BIG-IQ的新漏洞和更新。對漏洞及時披露和有效補救是我們安全實踐的核心訴求，這反映了我們保持警惕并專注于不斷改進的不懈努力。

我們知道漏洞管理對客戶系統(tǒng)的安全性和穩(wěn)定性至關(guān)重要，我們將與您的團隊合作確定所需執(zhí)行的行動及其優(yōu)先順序。我們將盡快為相關(guān)人員安排會議或電話溝通，并一起審查相關(guān)的補救計劃。

您可以在AskF5上找到安全公告的詳細信息和推薦的緩解措施的最新狀態(tài)。

（https://support.f5.com/csp/article/K50974556）

CVE列表及詳情概述:

注：

1.管理BIG-IP系統(tǒng)時使用唯一且隔離的Web瀏覽器，并將系統(tǒng)訪問限制為僅允許受信任的用戶。由于此攻擊是由合法的、經(jīng)過身份驗證的用戶進行的，因此在仍允許用戶訪問配置實用程序的同時，沒有可行的緩解措施。唯一的緩解措施是刪除任何不完全受信任的用戶的訪問權(quán)限。即：

通過配置針對httpd的allow ip限制只有受信用戶通過處于可信安全網(wǎng)絡(luò)中的可信設(shè)備才可訪問BIG-IP系統(tǒng)管理接口的TCP443端口；

通過self IP的Port Lockdown設(shè)置進行訪問控制。設(shè)置為Allow None將不允許self IP的所有協(xié)議端口被訪問。如果必須允許某些協(xié)議端口被訪問，可通過Allow Custom進行設(shè)置，必須不允許TMUI默認使用的TCP 443端口被訪問才可以達到緩解目的。

2.建議系統(tǒng)配置為HA集群，并配置HA表采取特定的動作，以避免業(yè)務(wù)流量中斷。

如果您有任何疑問，請隨時與我們保持聯(lián)系，我們將盡快安排與您及團隊的后續(xù)跟進與問題的解決。

順祝商祺

F5中國

2021年8月25日